登录尝试失败次数增加，暴力攻击？[关闭]

我安装了插件Simple Login Lockdown，从几天前开始，该数据库每天记录的记录超过200条。

我认为不可能让我的网站受到这么多IP的攻击

您认为有什么问题吗？

— 米纳波利
source

当然有可能。您知道那些点击所有内容而没有真正关注点击内容的人吗？怪他们。

— s_ha_dum 2013年

你们知道如何将自己列入白名单吗？我对该插件进行了过度测试，以防出现以下情况：“访问被拒绝。您的IP地址[我的IP]已列入黑名单。如果您认为这是错误的，请联系您的托管服务提供商滥用部门。” 自述文件讲述了一些内容，但我不知道如何正确地应用修改以及在何处进行。要编辑哪个文件？

— Boris_yo

Answers:

当前有一个活跃的僵尸网络，正在攻击WordPress和Joomla网站。可能还有更多。您应该会看到更多被阻止的登录信息。如果您不这样做，可能是出了点问题。

但是请注意，阻止IP地址对拥有90,000个IP地址的僵尸网络没有帮助。
如果您对每个插件都这样做，请避免Limit Login Attempts。它将IP存储在一个序列化选项中，该序列化选项必须针对每个请求进行非序列化。这非常昂贵且缓慢。
查找一个使用单独的数据库表的插件，或按以下方式阻止您的.htaccess中的IP地址：

order allow,deny
# top 30 IP addresses listed in 
# http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
deny from 31.184.238.38
deny from 178.151.216.53
deny from 91.224.160.143
deny from 195.128.126.6
deny from 85.114.133.118
deny from 177.125.184.8
deny from 89.233.216.203
deny from 89.233.216.209
deny from 109.230.246.37
deny from 188.175.122.21
deny from 46.119.127.1
deny from 176.57.216.198
deny from 173.38.155.22
deny from 67.229.59.202
deny from 94.242.237.101
deny from 209.73.151.64
deny from 212.175.14.114
deny from 78.154.105.23
deny from 50.116.27.19
deny from 195.128.126.114
deny from 78.153.216.56
deny from 31.202.217.135
deny from 204.93.60.182
deny from 173.38.155.8
deny from 204.93.60.75
deny from 50.117.59.3
deny from 209.73.151.229
deny from 216.172.147.251
deny from 204.93.60.57
deny from 94.199.51.7
deny from 204.93.60.185

allow from all

也可以看看：

食品法典：蛮力攻击
Ipstenu的.htaccess保护登录保护（Mika Epstein）
Liquid Web的自定义WordPress ModSecurity规则
Sucuri博客提供的针对WordPress蛮力攻击的防护，还：大规模WordPress蛮力攻击？–具有有趣的统计细节的神话或现实
如何通过HostGator 密码保护wp-login.php文件

我们的标签安全性也值得一看，尤其是：

如果您已经移动wp-admin或wp-login.php仍可以通过在主URL 后面附加/login或/admin来猜测这些URL。WordPress会将这些请求重定向到正确的位置。
要停止这种行为，您可以使用一个非常简单的插件：

<?php  # -*- coding: utf-8 -*-
/* Plugin Name: No admin short URLs */

remove_action( 'template_redirect', 'wp_redirect_admin_locations', 1000 );

我认为这是默默无闻的安全 -没什么大不了的。

— 福厦
source

我有很多站点在某些日子里成千上万，这是完全自动化的

— Tom J Nowell

我们也看到WordPress网站上的锁定明显增加，请加入@Minapoli俱乐部。

— Andrew Bartel

我使用并喜欢“限制登录尝试次数”，但是在这种情况下，它并不会完全有用，因为僵尸网络似乎足够精明，只能尝试使用任何给定的IP地址进行少量尝试。因此，它有效地避免了因重复登录失败而导致的每IP锁定。

— Chip Bennett

@Chip Bennett似乎只在我们的网站上尝试“ aaa”，“ administrator”和“ admin”，您是否看到其他用户名被当作目标？

— Andrew Bartel

@RRikesh不确定。通常siteurl/login重定向到正确的登录页面。

— fuxia

除了他的答案中列出的资源toscho之外，您还可以使用PHP的基本HTTP身份验证对wp-admin和/或wp-login.php进行密码保护，以阻止对wp-login.php的访问。

我刚刚发布了一个插件，该插件可以阻止No-Referrer请求。（No-Refrrer块当前不适用于子目录中安装的站点）。

— 克里斯·奥
source

请注意，这会锁定按（快速）CGI运行的PHP用户。

— fuxia

感谢那！它可以在PHP-FPM上运行，但是经过搜索后，我发现当php运行CGI / SuExec时它将不起作用，我将不得不进行快速更新以停用该环境中的插件。

— Chris_O 2013年

您可以通过以下方法保护WordPress管理员。

在管理员密码中添加数字，特殊字符和字母，然后设置强密码
如果您的数据库中有更多记录，这将使您的网站变慢。因此，可以通过在wp-admin页面中添加图片验证码来避免这种情况。一些插件可用。像https://wordpress.org/plugins/wp-limit-login-attempts/

— 阿尔希德·KK
source