Ik heb een server die de afgelopen weken aan het bokken is. Primair wordt eigenlijk alles veroorzaakt door constante bruteforce attacks op wp-login.php, wp-admin/ ajax en zelfs xmlrpc.php. Dit gaat soms met honderden bots tegelijk, CSF houdt dit maar moeizaam bij gezien de frequentie van aanvallen. Zet ik 1 website dicht, dus hide login of een deny from all / allow from via htaccess, dan wordt de volgende website er weer uitgeplukt. Sommige methodes om het tegen te gaan zijn niet echt ideaal, want een klant wisselt soms wel eens van IP adres of dat ik eigenlijk handenvol werk heb aan alle wordpress sites op specifiek deze server alleen.



Heeft iemand een all-round oplossing op serverniveau om die zooi gewoon per direct te blokken? Denk aan een blanco post naar wp-login.php direct in CSF zetten? Een legitieme bezoeker zou toch eerst naar /wp-login.php surfen en niet een blanco post sturen naar het bestandje in de eerste plaats. Server heeft al het volgende:

- Controle op wp-login.php, zit een script op de achtergrond zelfs dat apache status uitleest en IP's die meer dan 5 verzoeken sturen al in CSF zet
- Commodo WAF draaiende op de achtergrond, maximale security rules toegepast
- Wordfence op alle installaties, inclusief een 2x verkeerd inloggen is ban
- De grootste overlast gevende websites middels htaccess alles uitgesloten
- Standaard xmlrpc.php geblocked

probleem is; aantal threads dat gespawned wordt is op ten duur zoveel (zie soms op een dag honderden IP adressen voorbij komen) dat de load ruim boven de 8% uitkomt. Voor de goede orde 2% vindt ik al druk, en dat is de target voor iedere server die ik heb ook. Dus als iemand wat aanvullends weet hoor ik het graag.

Ik heb het wel eens geprobeerd met map beveiliging van wp-admin dat kon ik in DirectAdmin instellen, daarna ging het goed maar toen kon wordfence niet meer zijn scan doen. Wist niet hoe dat te omzeilen dus heb het een tijdje zo gelaten en die periode geen last meer gehad.

Nu dat weer terug veranderd en er recaptcha geactiveerd, dat kan je bij WordFence instellen onder Login Security en dan tabblad settings. Lijkt ook goed te werken. Misschien kan je dat nog proberen?

Hoop dat je er iets aan hebt :)

Het is niet echt haalbaar om heel de wp-admin te gaan beveiligen. Er zijn plugins die gebruik maken van files uit die map. Dus daar ga je al als die public worden geladen. Je kunt een uitzondering instellen, maar het is niet echt ideaal omdat bij iedere scheet dan een handmatige wijziging ingevoerd moet worden. Met 200+ sites op een server is dat niet echt te doen.

Ik trof net een wordpress website, stond dagelijks spam te versturen, echt per toeval ontdekt ook, gewiekst 30 mails per dag voor een maand lang al inmiddels, stonden gewoon ff 7200 admin accounts bijgeschreven.

Als er slechts enkele mensen [IP's] in de backend hoeven kun je slechts deze IP's toegang geven tot /wp-admin, door zoiets in de .htaccess te zetten :

PHP Code:

  order deny,allow
# Replace the below 192.168.5.1 with your IP address
deny from all
allow from 192.168.5.1 


Verder de server beter inrichten. Zoek bijv eens op rkhunter (rootkit hunter) en ClamAV.

Je zou Headless WP kunnen proberen.

WP zelf zorgt ook voor een enorme bloat. Neem bijvoorbeeld de Heartbeat API. Wanneer je zelf of anderen inloggen op de admin, dan controleert de Heartbeat functie of je bent ingelogd en plugins kunnen deze functie ook gebruiken om je bijvoorbeeld realtime berichten te tonen. Daarnaast controleert de functie om de 15 seconden of je een bericht aan het editen bent en toont dit vervolgens ook aan andere gebruikers. Dit heeft er ooit eens in het verleden voor gezorgt dat de hoster ons benaderde met het verzoek om een nog groter pakket af te nemen, omdat we dagelijks de Executions Limit ver overschreden...

Om wp-login.php en wp-admin te verbergen gebruik ik WPS Hide Login. Met deze plugin is het mogelijk inloggen alleen mogelijk te maken als je naar een andere URL surft.

Dus site.domein.com/wp-login.php is uitgeschakeld (404 Error). Dat geldt ook voor site.domein.com/wp-admin. Ik heb bijvoorbeeld ingesteld dat de url site.domein.com/verbogenadmin is. Heel handig!

Met deze plugin kun je de login-url hernoemen en verbergen en brute force attacks tegengaan: https://nl.wordpress.org/plugins/all...-and-firewall/

Origineel gepost door Arjen Zijlstra

Als er slechts enkele mensen [IP's] in de backend hoeven kun je slechts deze IP's toegang geven tot /wp-admin, door zoiets in de .htaccess te zetten :

PHP Code:

  order deny,allow
# Replace the below 192.168.5.1 with your IP address
deny from all
allow from 192.168.5.1 


Verder de server beter inrichten. Zoek bijv eens op rkhunter (rootkit hunter) en ClamAV.

Dit werkte bij mij zeer goed!

Laat load balancers de ip's ook blocken zodat je niks merkt van de traffic. Load balancers vangen de klappen op.

Ik sluit altijd de boel af met WordFence die houd veel verkeer tegen. Ook werk ik met Plesk die via de WordPress toolkit grotendeels al kan beveiligen en afschermen. Heb er zelf nooit last van mits het uiteraard goed ingesteld staat, laatst een domein gehad met dezelfde issues, en met enkele instellingen hield dit ook weer op.

p.s.
CSF houdt niet alles tegen, zou hier Fail2Ban bijplaatsen met een filter die op WordPress controleert. Op Plesk zit dit standaard ingebouwd, dit ziet er bij mij uit zoals onderstaande;

Jail Filter:

Code:

[Definition]
failregex = ^<HOST>.* "POST .*/wp-login.php([/\?#\\].*)? HTTP/.*" 200
ignoreregex =

Jail regel:

Code:

[plesk-wordpress]
enabled = true
filter = plesk-wordpress
action = iptables-multiport[name="plesk-wordpress", port="http,https,7080,7081"]
logpath = /var/www/vhosts/system/*/logs/*access*log
/var/log/httpd/*access_log 
maxretry = 10