Iedereen kent het wel, wordpress... Harstikke handig (voor de klant) maar geliefd bij vele crackers en semi hackers om te misbruiken en het liefst te hacken voor in gebruik botnet.

Ik wordt 'gek' van het aantal aanvallen dat plaatsvind op websites op servers van mij. Ik heb al maatregelen buiten wordpress omgenomen, maar de 'shit' blijft komen.

Ik wil niet voor een oplossing gaan in waarin de wp-admin beveiligd is met een htaccess wachtwoord. Er zijn plugins die gebruik maken van /wp-admin/admin-ajax.php en daardoor bezoekers geconfronteerd worden met een htaccess login scherm. Second; de klant moet er gewoon bij kunnen waar en wanneer die zeg maar wil.

Wat ik al heb gedaan:

- Een script meedraaien op de server die iedere 5 seconden, de apache status uitleest, en zoekt naar POST op /wp-login.php, detecteeert die 5 posts van 1 en hetzelfde IP? Dan gaat dit direct de firewall in. Dit is ter preventie van bruteforce. Dit werkt, want de afgelopen weken staat CSF al vol met meer dan 4000 IP adressen.

- Gebruik wordfence, htaccess per site aangepast, lege refferers te blokkeren naar wp-login.php /wp-admin/admin-ajax.php.

- Zeer aggresieve firewall policy, bijv een connectielimit per IP adres naar een server toe, meer dan xxx connecties in x tijd is blokkade op server.

Dagelijks scannen naar malware enz. Echter, dit brengt met 10 websites inmiddels een aardige load zo mee op een SSD raid setup.

Een "in-security" gebruiken in wordpress is omslachtig. Als je weet hoe wordpress werkt dan is elke vorm van security binnen wordpress niets meer waard zodra ze al op apache-niveau binnengekomen zijn. Het gaat me meer om de aanvallen (ik krijg soms 400 emails per dag per website met IP X geblokkeerd) om deze in grote mate af te slaan. De load gaat namelijk onnodig omhoog door dit soort bullshit. In de regel beheer ik voor klanten hun website, en dat houdt in ook het updaten, het verwijderen van niet gebruikte plugins en geautomatiseerde updates instellen enz. Het blokkeren van landen is geen optie (rusland komt de meeste rotzooi vandaan) maar ik heb nu eenmaal een website dat richt op o.a rusland. Ik blokkeer daarmee de gehele audience.

Het aanpassen van wordpress zelf is geen optie. Elke wijziging gaat verloren zodra er een update van wordpress op toegepast is. En ik hou liever echt alles up to date.

Mocht iemand een serversided oplossing hebben, dan sta ik daar graag voor open.

Als eerste zou ik de ip limit van csf weer terug op 1000 zetten. 99% van de inlog attacks komen van gehackte servers die meestal na een week weer gefixed zijn. De rest komt via Tor en dan blijk je blocken. Meer ips in de deny list -> hogere load.
Daarnaast kun je via de 'laatste' xml-rplc bug al vele honderden password proberen met 1 request. Dus xml-rplc zou ik al dumpen.
En je zou de gratis variant van cloudflare er al voor kunnen hangen. Dan wordt veel rotzooi ook al tegengehouden en kan je load ook drastisch minderen.

Het dagelijks scannen naar malware moet geen probleem zijn. Wij scannen 100den sites per server (ssd) op een half uurtje. Malware Detect scanned default overigens maar de aangepaste bestanden van de laatste 2 dagen, dus een full scan hoef je maar 1 keer op de week te draaien.

En wellicht is upgraden naar krachtigere hardware een optie? Soms proppen mensen een server zo vol, dat er nog maar weinig nodig is om een hoge load te triggeren.

Ik zie soms met SSH met Top een 90% CPU usage op 1 thread, en als ik napluis welke thread dat is dan is dat meestal een aanval op wordpress. Wanneer ik dat IP gewoon handmatig blokkeer dan ligt de load gelijk terug op 0.2% met iets van 400 websites.

schijnbaar kan een bot enorm veel requests sturen waardoor de load in een korte tijd enorm stijgt. Nee de server is niet overvol, er zit zat ram op en in een normale situatie ligt de load gemiddeld ook op 0.2%. Het zijn de aanvallen waardoor de load in een korte tijd doorschiet.

Wat je kan doen is gewoon je /wp-admin/ hernoemen. Dat stopt een aanzienlijk deel van de simpele bots. Verder zou ie ook eens over een geavanceerde firewall (bijvoorbeeld op hardware niveau) kunnen denken

Je bent het hernoemen van de map kwijt zodra wordpress geupdate wordt. Ik zoek daarom voor een serverwide oplossing ipv site-wide. Een firewall loopt al, dat ding bant de hele dag door aan.

Een CSF van meer dan 5000 temp / perm bans veroorzaakt echt geen hoge load hoor.

Ok, als je server geen drol te doen heeft met een load van 0,2% dan zal het niet veel meer worden met 5000 ip's in de firewall. Dat ga je pas merken als er echt iets over de lijn gaat. Maar het blijft zinloos om dat zo hoog te zetten.
In feite gaat een ip based firewall je gewoon niet helpen aangezien die requests tegenwoordig gewoon via tor binnenkomen en en dan spreek je over 100.000den mogelijke ipadressen.
Wat je eventueel kunt doen is via een mod_security rule het aantal gefaalde logins per ipadres bijhouden en dit door csf verder laten afhandelen.

Een voorbeeld dat je dan iets moet aanpassen staat hier: https://community.rapid7.com/thread/4958

Is er geen mogelijkheid om de toegang tot de admin alleen toe te staan voor een beperkt aantal IP adressen? Dat doet een klant van me ook. Is soms ook lastig als meneer Ziggo me weer een nieuw IP adres heeft gegeven of als ik op vakantie nog even door moet werken, maar is volgens de webmaster wel zo effectief. Een andere methode die ik laatst hoorde: toegang tot wp-login.php alleen toestaan vanaf een bepaalde referrer. Je maakt een pagina (uiteraard no-index etc, en liefst in een speciale map) met een niet al te voor de hand liggende naam zoals /alternatieve-ingang/ met daarop een redirect of link naar wp-login.php. Als je niet via die pagina op wp-login.php komt krijg je een error.

Verder neem ik aan dat je zo verstandig bent geweest om niet de default 'admin' te gebruiken als gebruikersnaam van de beheerder. Verder kun je er ook voor zorgen dat de gebruikers die zichtbaar zijn via bijvoorbeeld de post meta, zo min mogelijk rechten hebben. Een gebruiker met beheerdersrechten moet dus geen posts e.d. plaatsen waar zijn gebruikersnaam in beeld kan komen zodat bots nooit de gebruikersnaam met beheerdersrechten op kunnen pikken.

De meeste bruteforces vind plaats met een standaard combo van usernames en passwords. Ik heb vroeger sites gekraakt op deze manier, ik weet hoe het werkt. De eerste die maar in de buurt kan komen van de standaard gebruikersnamen en wachtwoorden krijgt een taart van mij voor het exploiteren van nederlandse sites.

Het is juist die tientallen POSTS tegelijk sturen op waarop de server gewoon een uitschieter krijgt, totdat het script dat detecteert en de boel blokkeert. Wordpress is namelijk onlogisch en vergt voor elke request een query naar PHP, de database en weer terug. Een plugin doet niets anders.

Opzich is dat limit per IP adres wel een optie, alleen lastig als je iedere keer een zeurende klant hebt die er niet in kan omdat het IP adres anders is.

Ik laat er iemand anders even naar kijken. Hij heeft eerder een script in elkaar gezet dat door middel van apache status de POSTS kan detecteren en bij meer dan 5 requests in 5 minuten het in CSF komt. Kwestie van het bestaande iets meer tweaken.

Origineel gepost door J van der Linde

Opzich is dat limit per IP adres wel een optie, alleen lastig als je iedere keer een zeurende klant hebt die er niet in kan omdat het IP adres anders is.

Ik ben een "zeurende webredacteur" die voor een opdrachtgever 2 websites onderhoudt die op die manier zijn beveiligd. Gemiddeld genomen moet hun webmaster 4 maal per jaar voor me aan de slag. Afgelopen jaar was dit:

- in april, vanwege een verhuizing
- in juli, om vanaf mijn vakantieadres te kunnen werken
- in augustus, om het IP-adres van mijn vakantieadres weer van de whitelist te gooien
- deze week, omdat Ziggo me spontaan een nieuw IP-adres toebedeelde

Als ik binnenkort weer een eigen zeilboot heb en komende zomer ook vanaf die boot zal willen gaan werken (verschillende jachthavens, 4G, etc) wordt dat ingewikkelder. Dan zal ik een VPN verbinding oid moeten regelen, ik ga mijn opdrachtgever uiteraard niet belasten met het feit dat ik steeds vanaf een andere plek wil kunnen werken.

Voor 10 sites die jullie voor diverse klanten beheren kan dit natuurlijk iets meer werk zijn. Eventueel zou je ook nog kunnen denken om dan de IP-ranges van de internetprovider van jullie klanten op de whitelist te zetten.

Origineel gepost door B. van der Weerd

Als ik binnenkort weer een eigen zeilboot heb en komende zomer ook vanaf die boot zal willen gaan werken (verschillende jachthavens, 4G, etc) wordt dat ingewikkelder. Dan zal ik een VPN verbinding oid moeten regelen, ik ga mijn opdrachtgever uiteraard niet belasten met het feit dat ik steeds vanaf een andere plek wil kunnen werken.

Voor 10 sites die jullie voor diverse klanten beheren kan dit natuurlijk iets meer werk zijn. Eventueel zou je ook nog kunnen denken om dan de IP-ranges van de internetprovider van jullie klanten op de whitelist te zetten.

https://wordpress.org/plugins/google-authenticator/ is zoiets niet wat voor jou? Mits je je smartphone bij de hand hebt, altijd toegang, ongeacht waar je bent. En zonder de code kom je er niet in (tenzij er dus weer een bug in Wordpress gevonden wordt waar ze misbruik van maken).

Echter gaat dit topic over het laten afnemen van de load van de aanvallen, en daar heb je dan weer niet heel veel aan.

Misschien heb je hier nog wat aan

http://codecanyon.net/item/hide-my-w...dpress/4177158

We hebben het e.a getweaked aan de configuratie en enkele scripts dat op root meedraaien en het grootste aan ellende is nu voorbij. Load lekker laag, bots het nakijken. :)

Om brute forces te blokken kan ik Ossec aanraden. Super mooi & geavanceerde software en werkt naadloos samen met CSF:)

Zoals Jay Z zegt:
http://codecanyon.net/item/hide-my-w...dpress/4177158

Misschien automatisch mee laten installeren?