暴力破解即使受IP限制也是如此

时间:2015-10-03 作者:Sami

我们根据Wordpress的建议对网站进行了安全设置,几个月来我们没有任何黑客企图。尤其是wp登录。php和wp admin仅受IP地址的限制,如下所示:

<Files wp-login.php>
order deny,allow
allow from a.b.c.d 
deny from all
</Files>
今天,根据Wordfence security,我们通过Tor网络进行了黑客攻击。幸运的是,所有的IP地址都被屏蔽了,网站是安全的。但是,如果他们没有访问wp登录的权限,他们如何登录。php?我通过url对其进行了测试,发现了一个禁止的错误:

Forbidden

You don\'t have permission to access /wp-login.php on this server.
让我更奇怪的是,wordfence说,这些IP地址在尝试登录时没有访问任何一个页面。它们甚至没有出现在“所有点击”部分,只是出现在“登录和注销”部分。

非常感谢您的帮助。

2 个回复
最合适的回答,由SO网友:birgire 整理而成

WordPress也是一个XML-RPC服务器。所以我猜这些机器人试图通过XML-RPC协议通过xmlrpc.php WordPress根目录中的文件。

可以登录,并且您的安全插件很可能在以下情况下接收失败的登录尝试:wp_authenticate() 被调用,并且wp_login_failed 挂钩已激活。

以下是相关部分:

/**
 * Filter whether XML-RPC is enabled.
 *
 * This is the proper filter for turning off XML-RPC.
 *
 * @since 3.5.0
 *
 * @param bool $enabled Whether XML-RPC is enabled. Default true.
 */
 $enabled = apply_filters( \'xmlrpc_enabled\', $enabled );

 if ( ! $enabled ) {
     $this->error = new IXR_Error( 
         405, 
         sprintf( __( \'XML-RPC services are disabled on this site.\' ) ) 
     );
     return false;
  }

  $user = wp_authenticate($username, $password);
因此,您可以通过以下方式看到:

add_filter( \'xmlrpc_enabled\', \'__return_false\' );
将抛出IXR_Error 错误,而不是尝试验证用户。

有些人选择阻止访问xmlrpc.php 文件

SO网友:Mark Kaplun

除了通过XML-RPC进行明显的登录之外,认为存在管理员、登录和前端url并将它们明确分开是不明智的。如果您使用一个ajaxified登录插件,那么登录尝试可以来自任何地方,而无需通过登录。php文件。防止暴力攻击的唯一真正方法是拥有一个强大的密码。

安全插件显然会在任何感知到的安全事件上通知您,使您认为他们正在做一些有价值的事情,但就像与垃圾邮件作斗争一样,您不应该担心受到攻击,而应该担心拥有良好的防御。一旦攻击者通过了你的防守,即使只有一次,游戏可能就结束了,现在做出反应为时已晚。

至于阻止IP范围,如果范围内的所有计算机都在您的控制下,那么它可能会很有用,否则效果就不是很好。假设你把IP限制在美国,你知道美国有多少开放代理、tor节点、被黑客攻击的服务器和被黑客攻击的台式机吗?其中一些会在某个时候被用来对付你。如果你的密码是123456,即使有IP限制,你也很容易被黑客攻击。当然,当你通过公共WiFi进行管理时,甚至不需要进入wp登录,就可以得到你的权威cookie。php至“登录”。

标签: security   hacks   小码农  

相关推荐

Security updates to 3.3.2

我知道所有的安全更新都很重要,但从1到10的范围来看,从3.1.3升级到3.3.2有多重要。我有一些网站需要升级,但主机将我锁定在一个旧版本的php中,限制我使用3.1.3。我目前正在运行php的5.2.3版本。谢谢Bart