Comments
7
Через REST API WordPress можно легко получить список зарегистрированных пользователей и их логины. Добавляем к URL /wp-json/wp/v2/users и видим всех пользоватлелей. И не придется брутить. Фиксится легко, можно ограничить достут, но мало, кто это делает.
да уж, открыл первый попавшийся сайт на wp — /wp-json/wp/v2/users работает, wp-login.php там где обычно, рекапчи нет. просто рай для мамкиных хакеров
Ну да:
— крайне желательно, что бы логин не совпадал с юзером
— надо закрывать вызов через json списка юзеров и перебор ID юзеров через url
— и slug юзера поменять (плагин), что в url юзер не показывался в адресе архива статей автора
— и прятать админку WP (на другой адрес url) — полно таких плагинов
— а после спрятанной админки (те доступ только из WP) повесить запрет 401 на wp-login.php и xmlprc.php (хотя бы через Apache), что бы запросы дураков из интернета до WP не доходили
Иначе сайт средней посещаемости (типа 500 в день) просто не будет работать — таких умных много с брутфорсом (типа 10 попыток в секунду) и это уже получается DDos — одно ядро процессора на VPS занято на 99% этой чепухой.
И wp-config.php перетащить на уровень вверх.
И fail2ban настроить.
И можно выдохнуть…
— крайне желательно, что бы логин не совпадал с юзером
— надо закрывать вызов через json списка юзеров и перебор ID юзеров через url
— и slug юзера поменять (плагин), что в url юзер не показывался в адресе архива статей автора
— и прятать админку WP (на другой адрес url) — полно таких плагинов
— а после спрятанной админки (те доступ только из WP) повесить запрет 401 на wp-login.php и xmlprc.php (хотя бы через Apache), что бы запросы дураков из интернета до WP не доходили
Иначе сайт средней посещаемости (типа 500 в день) просто не будет работать — таких умных много с брутфорсом (типа 10 попыток в секунду) и это уже получается DDos — одно ядро процессора на VPS занято на 99% этой чепухой.
И wp-config.php перетащить на уровень вверх.
И fail2ban настроить.
И можно выдохнуть…
остается только удивляться почему WP не делает все это из коробки
Забыл.
Да — и еще плагин WP, который пишет 404 ошибки в лог на сервере (а не в базу), далее отдаем этот лог fail2ban (фильтр+джайл) и «умники» с подбором 10 раз сек через URL -> улетают в бан.
И тогда более-менее реальные живые посетители могут на сайт попасть :)
Да — и еще плагин WP, который пишет 404 ошибки в лог на сервере (а не в базу), далее отдаем этот лог fail2ban (фильтр+джайл) и «умники» с подбором 10 раз сек через URL -> улетают в бан.
И тогда более-менее реальные живые посетители могут на сайт попасть :)
Может кто знает, а как узнать доступ к админке, если он был сменен с стандартного /wp-admin
Эммм так ведь эти штуки не работают если на сайте установлен https
Only those users with full accounts are able to leave comments. Log in, please.
Различные методы брутфорс атак WordPress