Hva gjør dere for å unngå WP-hacking

[TorsteinO]

Det høres jo stort sett ut som en standard htaccess/htpasswd-variant, akkurat som det jeg har gjort for enkeltnettsider, men som tydeligvis av en eller annen snodig grunn ikke var nok til å få løst det 100%.

Kunne du sende meg kontaktinfo på pm til han som fiksa det for deg, Tonny?

 

[zapotek]

<Files ~ "^wp-login.php">
Order deny,allow
Deny from all

Allow from x.x.x.x
</Files>

Denne metoden ser i utgangspunktet genial ut. Når jeg tester dette med å sette inn en annen ip-adresse enn min egen, så blir jeg forhindret tilgang. Skifter jeg til min ip, så får jeg tilgang.

MEN av en eller annen grunn stopper den ikke brute-force-forsøkene utenfra. Jeg får fortsatt like mange mailer fra Limit login attempts om mislykkende innloggingsforsøk (2-3 forsøk i minuttet siden søndag morgen på en side). Noen som har en ide om hvorfor dette skjer? Hvordan klarer de tydligvis å omgå wp-login.php?

 

[thomasstr]

Denne metoden ser i utgangspunktet genial ut. Når jeg tester dette med å sette inn en annen ip-adresse enn min egen, så blir jeg forhindret tilgang. Skifter jeg til min ip, så får jeg tilgang.

MEN av en eller annen grunn stopper den ikke brute-force-forsøkene utenfra. Jeg får fortsatt like mange mailer fra Limit login attempts om mislykkende innloggingsforsøk (2-3 forsøk i minuttet siden søndag morgen på en side). Noen som har en ide om hvorfor dette skjer? Hvordan klarer de tydligvis å omgå wp-login.php?

Har du en log du kan vise til? Det er alltid interessant med logger. For her står det vanligvis hvordan angrepet ditt har tatt plass og hvilken feilmelding de har fått tilbake. Du kan se i error_log i public_html/ eller i apache-log i kontrollpanelet.

Det finnes mange alternativ.
En annen mulighet er å endre wp-login.php til noe annet (wp-logginn.php f.eks). Eller om du spør administrator om å legge til en ModSec-regel om servern bruker det. For å slippe høy belastning kan du enkelt opprette en tom wp-login.php. Da tar det ikke så altfor mye ressurser for serveren eller siden.

 

[Travellingman]

Denne metoden funker for meg ihvertfall http://docs.host1.no/wiki/Securing_your_Wordpress_installation

Hadde Limit Login plugin inne lenge etter jeg innførte dette, men fikk aldri noe mer mailer fra den. Den plugin er vel ikke oppdatert på evigheter heller?

 

[zapotek]

Fant denne tråden på Wordpress.org, hvor omgåing av wp-login.php diskuteres (uten at jeg ble så mye klokere av den grunn): https://wordpress.org/support/topic/plugin-better-wp-security-bypass-to-login-hide-or-hide-backend

"
Let me restate this a little clearer.

The wp-login hits I am seeing in my access_log ARE NOT taking advantage of the "wp-login.php?loggedout=true" loophole.

The access is straight to ""wp-login.php" ... and the server is responding with a "200 all okay status code" NOT the "302 redirect to /notfound" that I see when I try and read the status code from "wp-login.php".
"

 

[NilsF]

Her er en artikkel med råd og tips om setting av passord for Joomla, og som også kan ha relevans for Wordpress:

How to Strengthen your Joomla! Administrator Password

 

[knippsen]

Som tidligere nevnt i tråden: Limit Login Attempts er genialt. Finnes flere ulike plugins.

 

[Rismoen]

Som tidligere nevnt i tråden: Limit Login Attempts er genialt. Finnes flere ulike plugins.

Hjelper bra lite når de bytter IP hvert sekund.

 

[zapotek]

Hjelper bra lite når de bytter IP hvert sekund.

Det hjelper nok til at de ikke klarer å knekke passordet. Nedsiden er at alle forsøkene bruker båndbredde.

 

[Dostojevskij]

Hvorfor er WP mer utsatt enn cPanel?

 

[spikre]

Hvorfor er WP mer utsatt enn cPanel?

Fordi wordpress er stappa med plugins som også blir tilgjengelig for brukere som ikke er "innlogget". cPanel er låst for all aktivitet foruten ett skjema.

 

[Marius_J]

https://wordpress.org/plugins/rename-wp-login/
Er en god plugin

 

[xdex]

• Bruke minst mulig plugins (eksempel: egen plugin for å legge inn google analytics? neitakk)
• Passe på at alt er oppdatert, og hold deg oppdatert på hva som skjer i WP miljøet.
• Unngå brute-force attacks med IP blocking, re-capcha etc.
• Ha riktige innstillinger i php.ini filen, og andre system/apache filer.
• Forstå litt PHP og hva plugins gjør, før du installerer noe, koster deg noen få minutter, koster deg dager om noe skjer.
• Flytt wp-config.php ut fra root
• Gjør det vanskeligere for bot's/crawlere å finne deg, rename wp-admin etc, og endre RSS navn osv.
• Bruk ett sikkert og langt passord, ikke stol på andre, de stoler uansett ikke på deg.

Dersom uhellet er ute, skal det ikke være noen fare, for du har vel tatt BACKUP?!?!?