Hva gjør dere for å unngå WP-hacking

H

hvaer

Medlem
https://www.duosecurity.com/product er helt brilliant. Kombiner dette med Cloudflare Profesjonell og Wordfence Premium, og du har en side som er sikker som banken(vel, ikke helt, men så nærme man kan komme med WP) på innloggingsnivå.

Fordelen med Cloudflare Premium er at den luker ut bruteforce-nettverkene fort, så du får den trafikken i særs liten grad.

Bruk gjerne særnorske tegn i passordene, for det vil aldri en bot forsøke å finne på.

F.eks
JegGåriButikkenKlokkenÅtte8Etter_Hæren gir dette resultatet, og selvom du deler det på 100000 maskiner som kjører bruteforce samtidig, så vil det fortsatt være mange år igjen...

Selv så ville jeg kjørt enten https://managewp.com/ eller CMS Commander | Full control for Wordpress, Drupal, Joomla and phpBB!, og ha umulige bruker/pass kombinasjoner, som man lagrer i f.eks Passpack. Det gir autoinnlogging til de ulike WP-installasjoner man har, fra en av verktøyene over, så det er ekstremt sjelden man trenger å finne frem passord fra Passpack. Og da er det ikke noe problem med 50-tegnspassord...
 
D

Dseller

Medlem
Ludo skrev:
Vel, hvis du vil være heelt sikker, kan du sperre tilgang til .../wp-admin for alle andre IP-adresser enn dine egne utvalgte gjennom .htaccess-filen. Det fungerer veldig bra; folk som ikke har godkjent IP-adresse greier ikke å åpne login-siden en gang.

Instruks fra min webhost:

You can use your site's .htaccess file to only allow requests from your computer's local IP address.

*!* If you have either a dynamic IP address, or you access WordPress from multiple devices, each IP address that you access WordPress with would also need to be allowed in your .htaccess file. *!*

In order to find out your local computer's IP address, you can simply visit the following URL: http://icanhazip.com

After you have your local IP address, you can follow these steps in order to lock down your WordPress site to only permit logins from your IP address:

1. Login to cPanel.
2. Under the Files section, click on the File Manager icon.
3. From the Document Root for: drop-down, select your WordPress site.
4. Make sure that Show Hidden Files is checked.
5. Click Go.
6. Right-click on your .htaccess file, then click on Edit.
7. You may have a dialog pop-up from the text editor, go ahead and click Edit.
8. Now you can just paste in the following code, being sure to replace the x.x.x.x IP address with your own:

<Files ~ "^wp-login.php">
Order deny,allow
Deny from all

Allow from x.x.x.x
</Files>
Klikk for å utvide...


Hvordan blir denne koden når du legger til fler ip'er`?

<Files ~ "^wp-login.php">
Order deny,allow
Deny from all

Allow from 111.111.111, 222.222.222 (SLIK?)
</Files>


EDIT: når man skal hacke en WP side er det ikke mye bedre og hacke seg inn i Cpanel?
 
Sist redigert:
TorsteinO

TorsteinO

Art Director & grunder
Fyttirakkern, nå har jeg akkurat hatt en SLITSOM runde med bruteforceangrep, tror jeg har fått 6000 mail fra wordfence siden i går kveld! Jeg hadde lagt inn litt tilpasninger i .htaccess, blant annet passordbeskyttet wp-login.php, men selv om jeg får det opp selv, så får jeg allikevel flere mail om innloggingsforsøk. Lurer på om det kan være via xmlrpc det kommer, må sjekke mer rundt dette!
 
Dan Åsen Hansen

Dan Åsen Hansen

Medlem
Jeg installerte "Hide My WP" på Sydhavsposten, og har ikke hatt et eneste forsøk siden. Har ellers prøvd det ".htaccess-trikset" på et par andre sider, men der dukker det faktisk opp et og annet forsøk fortsatt (ref; Limit Login Attempts) men ikke i det omfang som tidligere ...
 
TorsteinO

TorsteinO

Art Director & grunder
thomasstr

thomasstr

Medlem
TorsteinO skrev:
Egentlig tror jeg ikke det var et bruteforceangrep, for ved nærmere kikk ser jeg at brukernavnet har stått tomt, begynner å lure på om det var et lite DDOS-angrep - More Than 162,000 WordPress Sites Used for Distributed Denial of Service Attack | Sucuri Blog, samtidig ser jeg jo denne saken her også - New Brute Force Attacks Exploiting XMLRPC in WordPress | Sucuri Blog - som jo matcher bra bortsett fra at det ikke var med noe brukernavn
Klikk for å utvide...

Vi har også hatt dette fra noen IPer i dag. Har bare blokkert disse inntil videre. Eller så er det bare å skrive et bash script som legger til .htaccess i alle brukerne som har wp installert :)
Det gjorde jeg også forsåvidt.
 
Tonny Kluften

Tonny Kluften

Administrator
Vet ikke :D

Men han som ordnet det for meg forklarte det slik:

"Teknisk sett fungerer det slik at apache spør om passord for alle filer som heter wp-login.php. For å sette det opp må man redigere apache-konfigurasjonen manuelt via ssh, og opprette en FilesMatch-regel som matcher på wp-login.php og passordbeskytter denne med standard apache passordbeskyttelse."
 
thomasstr

thomasstr

Medlem
<FilesMatch "wp-login.php">
AuthUserFile /home/USER/.htpasswds/public_html/passwd
AuthName "GTFO"
AuthType Basic
require valid-user
</FilesMatch>

Kan vel gjøres slik tenker jeg:)
 
Du må logge inn eller registrere deg for å svare her.
Topp