web-dev-qa-db-ja.com

多くの方法を試した後にWordPressブログで管理者アクセスを得ようとしているハッカーを止められない

私は自己ホスト型のWordPressブログを持っていて、何週間かの間誰かがadminとしてログインしようとしています。それを止める方法を探しています。発信元のIPアドレスをブロックし始めてから、試行は多くのIPから開始されましたが、10分間隔で3回または4回試行されます。

私はいくつかのセキュリティステップを使い、すべてのプラグインを最新の状態に保ちます。もちろん、Wordpress自体も自動的に最新の状態に保たれています。

これらはすべて私のセキュリティアクションではありません、しかし私は持っています... - "Limit Login Attempts"プラグイン、しかしハッカーによるIPアドレスの切り替えはこれがあまり効果がないことを意味しました。

  • Htaccessとhtpasswdでwp-adminディレクトリをパスワードで保護します。これは長い間導入されていたので、そのディレクトリアクセスのユーザー名とパスワードを変更しただけですが、違いはありません。彼はまだログインダイアログを表示します。

  • もちろん、WP adminアカウントは 'admin'という名前ではなく、元の管理者a/cを削除しました。

  • しばらくの間、私もwp-login.phpの名前を変更しようとし、ブログのディレクトリからwp-adminを移動しました。ブログを書きたいときや変更を加えたいときは、これを元に戻すのが素早く簡単です。しかし、ログイン試行の制限はまだ試みを報告しています - 私はこれらを改名/移動したため21です。そんなことがあるものか?これらを通常の場所に戻しました。

  • これをブログのメインディレクトリの.htaccessに追加しました(nnn etcは私の固定IPで、example.comは実際のドメインの代わりに使用します)。

    RewriteCond %{REMOTE_ADDR} !^nnn\.nnn\.nnn\.nnn$
    RewriteRule ^wp-(login|register)\.php http://www.example.com/blog/ [R,L]
    
  • そして私はブログのwp-adminディレクトリの.htaccessにそのバリエーションを追加しました:

    RewriteCond %{REMOTE_ADDR} !^nnn\.nnn\.nnn\.nnn$
    RewriteRule ^wp-admin.*?$ http://www.example.com/blog/ [R,L]
    

Wp-login.phpを使って別のIPアドレスからログインしようとすると、最初のhtaccessによってブログのフロントページに正しく移動します。同様に、私がその異なるIPアドレスからwp-adminにアクセスしようとすると、2番目のhtaccessはブログのフロントページに直接アクセスします。固定IPからログインしようとしたときにだけ、ディレクトリアクセスパスワードの要求が表示され、次にWPログインページが表示されます。

それでも、ハッカーはログインダイアログに到達することができます。彼はまだ実際にログインすることに成功していません、私はWordPressファイルモニターを実行して、予期しないファイル変更を見ません、そして彼は本当の管理者ユーザー名を発見していません - .

だから、誰でも私の理解を手助けすることができます:

  1. ハッカーがまだログインページにアクセスできるのはどうしてですか。 wp-login.phpとwp-adminが一時的に名前変更/移動されたときでも?キャッシュ内のページがアクセスを許可していた場合に備えて、キャッシュをクリアして数日前にスーパーキャッシュをオフにしました(そしてwp-super-cacheという名前に変更しました)。

  2. これを止めるために私は何ができますか?私は親サイト(共有ホスティング)とMySQLデータベースへのフルアクセスを持っています。

1
Roy Grubb

あなたができることの一つは、あなたがメンバーシップウェブサイトを持っていないならば、それからwp-admin/wp-loginがあなたのIPアドレスを通して開かれ、他のすべてのIPアドレスをブロックすることができるようにそれを作る。しかし、あなたが会員制のウェブサイトを持っていないことを確認してください(ログインできる他の購読者/出版社はありません。あなただけがログインできる人です)。

他にできることは、クラウドフレアのように「CDN」を使用することです。これは、サーバーに到達する前にIPをフィルタリングします。これはあなたのサイトも速くします。

お役に立てれば。

1

走ることはできますが、隠すことはできません - Taylor Wagner

誰かがあなたのサイトをハッキングしようとするのを止めることはできません。ハッカーはあなたのサイトを見つけてそれをハックするために多くのソフトウェア/ボット/テクニックを使用します(これは私の上で率直に動作する方法です)、そしてあなたはこれから隠れることはできません。これらのソフトウェアやボットはあなたのサイト上のURLを「推測」しますので、ログインページがどこにあるのかを知っているわけではありません。それは基本的に推測が正しいまで続く推測ゲームです。

あなたがそれを好きではないかどうか、故意でも無意識でも、あなたは一日当たり多くのハッキングの試みに襲われています、そしてあなたはそれを止めることはできません。あなたの現在の対策(良いセキュリティプラグインの使用、強力なパスワードの使用、PHPとWordPressの最新版の維持、「安全な」コードの作成、およびいかなる種類のユーザー入力も決して信頼しないことなど) 、あなた自身を含む))攻撃に対して十分によいです。覚えておく必要があります。プラットフォームや言語のコードはハッキングに対して安全ではありません。あらゆるコードがハッキングされる可能性があります。ハッカーがコードまたはログインを通じて自分のサイトにアクセスするのをできるだけ困難にすることができます。ページ.

ハッカーから隠れようとすることを心配する必要はありません。これまで行ってきたことは、「発見」されないようにするためにできる限りのことです。むしろ、誰かまたは何かが実際にあなたのサイトにアクセスするのを可能な限り難しくすることにあなたの時間を費やしてください。

3
Pieter Goosen