[M_W]

День добрый всем!
Сегодня утром проснулся и наблюдал радужную картину в виде статистики от плагинов типа limit login attempts - 674 IP-адреса долбили всю ночь, все заблокированы на долгое время. В общем, приблизительно с двух часов ночи, мой сайт на WP жутко брутфорсили до половины 8-го. Нагрузка выросла на CPU до ужаса.

Подскажите, как можно перекрыть кислород товарищам, простые превентивные меры? Какие варианты желательно провести? Сменить стандартные входы wp-admin и wp-lohin.php на другие? Какой вариант лучше? Поставить заглушку в htaccess - а как? IP у меня динамический - по входу с одного не получится сделать.

[GoodHash]

IP у меня динамический

Там скорее всего одна подсеть.

Код:

<Files "wp-login.php">
    Order deny,allow
    Deny from all
    Allow from 10.0.0.0/24
</Files>

Разрешит доступ с 10.0.0.0 - 10.255.255.255, к примеру.

[Eardor]

IP у меня динамический - по входу с одного не получится сделать.

По входу на сеть?

[HelgerLEE]

Комплекс мер:

1) смена юзера id1 на другого
2) смена адреса входа на иной
3) полный запрет доступа к админке в свое ночное время, например с 2 ночи до 6 утра
4) бан ломящегося после нескольких неудачных попыток (3-5 вполне хватит, чтобы самому не очутиться в бане)
5) анализ гео своих посетителей и отсечка нецелевых стран (Китай и тд) по ip.

Все реализуемо плагинами, единственно, при обновлении базы GeoIP может некоторое время сильно лагать админка.

[M_W]

GoodHash, нет, уже пробовал - блочит и не пускает.

---------- Сообщение добавлено 10:54 ---------- Предыдущее 10:48 ----------

HelgerLEE, спасибо за ответ. Однако вопрос ведь в том, как все это реализовать. В Инете вариантов масса - да только какие из них стоящие, а какие, простите, фекалии.

[VulkanPartner]

Наиболее быстрый и простой способ - поставить вот этот плагин. В 99% случаях о брутфорсе забываешь с ним. А ваш блог постепенно улетает из баз взломщиков, так как его ломать становится неэффективно уже...

[M_W]

VulkanPartner, вы невнимательно прочитали мой пост - этот плагин у меня стоит. Однако его присутствие товарищам брутить мой сайт ничуть не мешает.

[ekart]

Сменить стандартные входы wp-admin и wp-lohin.php на другие

Просто и достаточно эффективно.

[HelgerLEE]

Однако вопрос ведь в том, как все это реализовать

Первые 4 пункта вот этим: _http://wordpress.org/plugins/better-wp-security/
Блок по ip, например, этим: _http://wordpress.org/plugins/wordfence/

[Dancan]

Одно из моих простых рекомендаций - для всех сайтов на WP используйте плагин Disable XML-RPC (обязательно активировав его после установки). Поможет уберечь от тех кто перебор пароля к админке пускает через XML-RPC