Prevenire attacchi di forza bruta su WordPress con SSHguard

Naviga le tue risposte
1

Ho installato sshguard: sudo apt-get sshguard -y e funziona bene (ho provato a "forzare brute" il mio server ed è stato bloccato).

Desidero utilizzare sshguard per difendere gli attacchi di tipo brute force su WordPress. Ho letto il questo tutorial e ho capito che devo fare 2 cose:

1) Disabilitazione totale di XML-RPC in WordPress.

Tuttavia da commenti qui Comprendo che disabilitare totalmente XML-RPC è un'operazione obsoleta e ridondante in WordPress 3.xx e così via (e io uso almeno WordPress 4.7.x)

2) Metti questo blocco posizione da qualche parte all'interno di Nginx conf (non mi era chiaro dall'articolo esattamente dove): 

location "/wp-login\.php" {
  access_log "/var/log/httpd/wordpress-logins.log";
}

In effetti, tutto ciò che si deve fare per proteggere l'accesso a WordPress dagli attacchi brute force è quello di aggiungere questo blocco di posizione al globale /etc/nginx/nginx.conf (all'interno del blocco del server lì)?

Oppure potrei aver frainteso l'intenzione degli autori.

    
posta Arcticooling 23.01.2018 - 21:03
fonte

2 risposte

3

Does indeed all one has to do to protect WordPress login from brute force attacks is to add this location block be to the global /etc/nginx/nginx.conf (inside the server block there)?

Più o meno.

Si aggiunge la linea a nginx.conf che indica che ogni volta che qualcuno tenta di accedere a un url che assomiglia alla pagina di accesso, la richiesta viene registrata sul disco. SSHguard monitorerà e analizzerà continuamente il file di log e presumibilmente aggiornerà iptables se il numero di accessi a quella pagina da un IP specifico supera una certa soglia.

XML-RPC come implementato in Wordpress può essere descritto solo usando stringhe di oscenità. È fondamentale per molti plug-in di terze parti, quindi disabilitarlo li romperà, ma lasciarlo abilitato ti aprirà anche a ulteriori tentativi di autenticazione bruteforce. Se stai usando Jetpack o simili ti consiglio di aggiungere /xmlrpc\.php a nginx.conf e di aggiustare SSHguard in modo da monitorare anche le richieste di pagina.

Un problema con cui ti imbatti subito dopo aver fatto tutto questo è che solo i più pigri tra gli utenti malintenzionati bruteforce da un indirizzo IP coerente. Troverai rapidamente un IoT / botnet appropriatamente maltrattato da una varietà di indirizzi IP nel tempo per aggirare le tue difese, ma è un passo utile per arrestare almeno gli attacchi di base.

    
risposta data 23.01.2018 - 22:23
fonte
1

Ciò che Tom sta insinuando nel suo commento a questa domanda è che non ci sono più problemi con XML-RPC. Non riesco a verificare tale reclamo.

In ogni caso, se non lo usi puoi semplicemente spegnerlo comunque per essere al sicuro!

    
risposta data 23.01.2018 - 21:56
fonte

Leggi altre domande sui tag

C'è un vantaggio nel richiedere le stesse informazioni se l'autenticazione fallisce? Alla ricerca di scappatoie di sicurezza e reporting (applicazioni web specifiche)