Significato di molti login falliti nel mio sito web

Penso che al giorno d'oggi sia abbastanza comune (basato sui miei registri di centinaia di siti) che i siti web di Wordpress vengano attaccati in modo casuale. Immagino che tu abbia ancora la pagina di accesso su / wp-admin / e che il tuo nome di accesso sia mostrato da qualche parte nei tuoi post (autore) o usando l'account "admin".

Fondamentalmente ciò che fanno alcuni bot, è quello di ottenere il tuo id dal tuo sito (o provare con 'admin'), e provare semplici tentativi di password (come quelli invertiti o molto comuni). Non fanno la forza bruta perché l'intenzione non è quella di spegnere il tuo sito web o spendere così tante risorse in un singolo sito web. Come vedi, questi robot cercano di accedere in modo casuale a qualsiasi sito web di wordpress con password deboli (non il tuo sito specifico). Hanno più possibilità in questo modo di forzare un singolo sito. In modo simile, i bot cercano di indovinare i tuoi strumenti di gestione basati su mysql, che possono essere visualizzati nei tuoi log di errori come:

• phpmyadmin /, myadmin /, mysql /, ecc.

Per proteggersi da questi attacchi, questo è ciò che consiglio:

1. Utilizza password complesse (ancora meglio, usa parafrasi di 15 caratteri o più)
2. Nascondi il tuo nome utente e mostra il tuo nome (tuttavia non è così essere efficace al 100%. Il tuo nome di accesso potrebbe ancora perdere). Se il tuo nome è "John", non utilizzare "john" come nome di accesso.
3. Aggiungi l'autenticazione di base Apache alla tua pagina di accesso
4. Se possibile allontana il tuo wp-admin / (non usare: / admin / o /accesso/). Ci sono molti modi per farlo, alcuni non lo sono efficace.
5. È possibile specificare quali indirizzi IP accettare nella pagina di accesso (esempio: link ).
6. Aggiungi HTTPS alla tua pagina di accesso.
7. Tieni aggiornata l'installazione di Wordpress

Se hai accesso amministrativo al tuo server di hosting (in altre parole, non stai utilizzando un servizio condiviso), ecco ulteriori consigli (alcuni si applicano solo ai server Linux):

1. Utilizza fail2ban. È possibile impostare regole speciali per escludere chiunque tenti di eseguire la scansione di phpmyadmin / o più di X tentativi di accesso alla pagina di accesso. (Se non sai come, fammelo sapere e inserirò qui i miei filtri).
2. Aggiorna regolarmente il tuo server (specialmente, apache, mysql e php).
3. Consenti l'accesso alla tua pagina di accesso solo dal tuo paese (nel caso in cui non viaggi spesso). Questo passaggio richiederà l'installazione di librerie geoip e di avere alcune conoscenze di scripting (forse c'è un modo più semplice per farlo?).
4. Utilizza un firewall e consenti solo le porte di cui hai bisogno.

Potrei mancare molti altri modi per proteggerti, ma quelli sono le forze che uso nei miei siti (circa 500) da 5 anni fa, e finora nessuna violazione (che io sappia).

Non ho familiarità con il plug-in, ma sembra che qualcuno conosca il tuo nome utente di accesso e potrebbe aver tentato di indovinare la tua password. Non è davvero una forza bruta o mi aspetterei di vedere più tentativi falliti nel registro.

Se fossi stato io installerei una VM Linux (per evitare key logger), VPN in una rete fidata (evita lo sniffing della password) e cambio il nome utente e la password dell'amministratore sul sito. Un nome utente e una password davvero validi.

Potresti anche cercare l'indirizzo IP che stava accedendo a quella pagina. La maggior parte di Cpanel avrà questo o potresti utilizzare il set di strumenti di Google per l'analisi del traffico.

Ho pensato che tu abbia avuto un attacco di forza bruta ma hai sostenuto che solo 10 tentativi falliti di login Sucuri plugin segnalato a te, quindi non può essere, almeno per il momento, quel tipo di attacchi. È piuttosto qualcosa fatto manualmente (e più probabilmente da qualcuno che ti conosce, ma questo è solo il mio personale punto di vista riguardo la mia esperienza con esso).

Riguardo a questo fatto, posso consigliarti solo da questa prospettiva (attacco di forza bruta), quindi qui le cose che puoi fare al momento:

• Non so quale versione di Wordpress usi, ma le prime versioni di WordPress hanno come predefinito admin come username , se questo è il caso, devi cambiala in modo che l'ipotesi sia più difficile.

• Migliora la forza e la sicurezza della tua password. Per questo caso, non voglio riprodurre ciò che è già ampiamente discusso su questo sito web in molti post come questo Quanto è affidabile un correttore forza password? , o qui: Metriche di rafforzamento della password o questo Perché gli hash salati sono più sicuri per la password stoccaggio?

• Proteggi il tuo sito web scrivendo ErrorDocument 401 default nel tuo file .htaccess

• Puoi filtrare chi ha il permesso di accedere al tuo wp-admin e non permettere alcuna richiesta di referrer e, perché no, impostare un firewall con le regole che puoi aggiornare usando Fail2ban .