Comments 7
Через REST API WordPress можно легко получить список зарегистрированных пользователей и их логины. Добавляем к URL /wp-json/wp/v2/users и видим всех пользоватлелей. И не придется брутить. Фиксится легко, можно ограничить достут, но мало, кто это делает.
да уж, открыл первый попавшийся сайт на wp — /wp-json/wp/v2/users работает, wp-login.php там где обычно, рекапчи нет. просто рай для мамкиных хакеров
Ну да:
— крайне желательно, что бы логин не совпадал с юзером
— надо закрывать вызов через json списка юзеров и перебор ID юзеров через url
— и slug юзера поменять (плагин), что в url юзер не показывался в адресе архива статей автора
— и прятать админку WP (на другой адрес url) — полно таких плагинов
— а после спрятанной админки (те доступ только из WP) повесить запрет 401 на wp-login.php и xmlprc.php (хотя бы через Apache), что бы запросы дураков из интернета до WP не доходили

Иначе сайт средней посещаемости (типа 500 в день) просто не будет работать — таких умных много с брутфорсом (типа 10 попыток в секунду) и это уже получается DDos — одно ядро процессора на VPS занято на 99% этой чепухой.

И wp-config.php перетащить на уровень вверх.
И fail2ban настроить.
И можно выдохнуть…
Забыл.
Да — и еще плагин WP, который пишет 404 ошибки в лог на сервере (а не в базу), далее отдаем этот лог fail2ban (фильтр+джайл) и «умники» с подбором 10 раз сек через URL -> улетают в бан.

И тогда более-менее реальные живые посетители могут на сайт попасть :)
Может кто знает, а как узнать доступ к админке, если он был сменен с стандартного /wp-admin
Only those users with full accounts are able to leave comments. Log in, please.

Information

Founded
Location
Молдова
Website
alexhost.com
Employees
2–10 employees
Registered