[Gann]

Буквально позавчера обнаружил ужасное известие - сайт заражён. Зашёл на хостинг - вижу залитый ШЕЛЛ, прямо в корне. В общем, сайт взломали.

Надеялся, что мой мощный пароль и свеженький движок оградят меня от вломов, но не тут-то было. Пароль подобрали, сам накосячил - логин оставил Admin, его конечно же сменил. Но вот как защититься от перебора паролей - пришлось поискать.

Нашёл множество решений, но они либо базу данных используют и, соответственно - нагружают её, либо - вообще не работают.

В итоге отрыл плагин Брут Форс Проекшн - самый главный плюс - он сразу записывает блокировку в файл htacess! Теперь при попытки перебора пароля ко мне на почту приходит письмо - их уже целая куча!!!

О плагине написал статейку (настройки и прочее расписал): _http://saitoseoteka.ru/vordpress/plagin-zashhity-vordpress-ot-podbora-parolya.html

Я и не думал, что настолько часто мой сайт пытаются взламывать.
Так что, как один из вариантов - ставьте такой плагин, защитите свой сайт.

[VulkanPartner]

Зачастую брут идет с кучи разных IP. И когда в списке их наберется не одна тысяча, это по идее плохо скажется на работоспособности, мне кажется. Этот момент учитывали/прорабатывали?

[Ems]

Я и не думал, что настолько часто мой сайт пытаются взламывать.
Так что, как один из вариантов - ставьте такой плагин, защитите свой сайт.

Тема не нова. Уже какой год автоматически брутфорсят практически все сайты на Wordpress по всему миру.

Блокрировать лучше со стороны сервера, а не движка.

[Gann]

VulkanPartner, пока не учитывал - до 500-1000 через htacess таким способом буду блокировать.

---------- Сообщение добавлено 13:27 ---------- Предыдущее 13:25 ----------

Ems, а как это - со стороны сервера? Записывать в config?

Да, тема не новая. Раньше плагин был - уже два года не обновляется. Вот и долго искал подходящий - решил поделиться

[Ems]

Ems, а как это - со стороны сервера?

Например, используя Fail2ban.

[Gann]

Ems, почитал на Хабре - такое мне, рядовому пользователю, не по плечу(

[Ems]

Ems, почитал на Хабре - такое мне, рядовому пользователю, не по плечу(

Инструкций в сети же полно. Ну, ок. А ещё для того же Wordpress, форму логина перенести на другой произвольный url. Тогда попросту негде будет брутфорс применять, адрес то не вычислить новый будет.

[xexe]

Обычно использую генератор паролей, к примеру этот _https://www.random.org/passwords/
На простые сайты 16 символов хватает, на что-то более нужно 24-30 символов. Приходиться записывать в файлик всё это, но с другой стороны пусть брутят сколько влезет. :)

[Gann]

Ems, занимаюсь вопросом переноса. Также почитал, что вообще wp-content можно переименовать - с трудом верится))

[Ems]

Приходиться записывать в файлик всё это, но с другой стороны пусть брутят сколько влезет. :)

Это только лишняя нагрузка на сервер и на Wordpress.

---------- Сообщение добавлено 14:59 ---------- Предыдущее 14:53 ----------

Также почитал, что вообще wp-content можно переименовать - с трудом верится))

Не wp-content, а wp-admin/wp-login и тут не совсем переименование. И самостоятельно в принципе не обязательно делать.
Есть спец плагины, например это можно сделать с помощью All In One WP Security.