ボットが私のwordpressログインページを推測した方法は？

多くのWebスキャンツール（例： Wikto ）には、URLに対してブルートフォース推測を起動する機能があります。攻撃者が辞書を使用して、curlまたはwgetをブルートフォースで攻撃することを妨げるものは何もありません。

while read line
 do
   wget -qO - http://yoursite.com/$line
 done < /usr/share/dictionary/wordlist

私がペンテストで行う一般的なタスクは、上記のようなものです。サイトのコピーを取得し、各Wordを解析して、各Wordを改行に入れ、サイトにリストされているWordのディレクトリを検索します彼らのサイト。これは、ユーザー名にも数回役に立ちました。

ここでワードプレスについて言及しましたが、プラグインを使用する場合、それらのプラグインの一部には、「pingbacks」または「ねえ、このプラグインも使用します」が含まれる可能性があることを明記してください。これは、攻撃者が別の場所であなたのサイトを見つけ、それを標的とした別のベクトルである可能性があります。 WP一般に、 " Scritch "のようなサイトは、サイト（CMS）で実行されているもの、使用されているプラ​​グインなどを誰かに知らせることができます。次のように：攻撃者は、pingbackなどでサイトを確認し、サイト名を取得し、それをスクラッチに押し込みます。攻撃者があなたを攻撃することを決定します。ログインページが見つからないため、同様の戦術（シェルスクリプト）を使用して何か。

私は攻撃者についてはほとんど心配せず、次のようなmod_rewriteルールまたはhtaccessファイルの作成に重点を置きます。

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?oscarfoley\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin-login$
RewriteCond %{REMOTE_ADDR} !^1\.2\.3\.4$
RewriteCond %{REMOTE_ADDR} !^5\.6\.7\.8$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule> 

ここで、1.2.3.4はあなたのホームアドレスであり、5.6.7.8はおそらくあなたの会社のページであり、ログインページを介して侵入しようとする誰かの心配で完了します。あいまいさを介したセキュリティである別の代替案は、たとえば、WordではなくWordのSHA1チェックサムに基づいてURLを作成することです。例えば。

$ echo 0sc@r | shasum5.16 -a 1
2ee681adc62a5ca2865bb7424b6a97a9050ddcd4  -

ここで、2ee681adc62a5ca2865bb7424b6a97a9050ddcd4がログインURLになります。繰り返しますが、あいまいさによるセキュリティですが、ここでの概念は、誰かがいつかそのURLを推測したということです。トラフィックが何らかの形で盗聴されたか、どこかにキャッシュされたと推測できます。

OP EDITにより追加

1つのアドレスからの404は、ほとんど意味がありません。そのアドレスの接続がブルートフォースの試みを行う別のアドレスと連携して機能しているかどうかはわかりません。 （例：分散スキャン/共有）