Claro que é possível. Você conhece aquelas pessoas que clicam em tudo sem prestar muita atenção no que estão clicando? Culpe-os.
s_ha_dum
Vocês sabem como me colocar na lista de permissões? Testei demais este plug-in na situação em que recebo o seguinte: "Acesso negado. Seu endereço IP [Meu IP] está na lista negra. Se você acha que isso está errado, entre em contato com o departamento de abuso dos provedores de hospedagem". O leia-me diz alguma coisa, mas não sei como aplicar corretamente as modificações e onde. Qual arquivo editar?
Mas lembre-se, o bloqueio de endereços IP não ajuda contra uma rede de bots com mais de 90.000 endereços IP.
E se você fizer isso por plug-in, evite Limitar tentativas de login . Ele armazena os IPs em uma opção serializada que precisa ser desserializada em cada solicitação. Isso é muito caro e lento.
Encontre um plug-in que use uma tabela de banco de dados separada ou bloqueie os endereços IP no seu .htaccess assim:
Se você se mudou wp-adminou seus wp-login.phpURLs ainda podem ser adivinhados anexando /loginou /adminao URL principal. O WordPress redirecionará essas solicitações para o local correto.
Para interromper esse comportamento, você pode usar um plugin muito simples:
<?php # -*- coding: utf-8 -*-/* Plugin Name: No admin short URLs */
remove_action('template_redirect','wp_redirect_admin_locations',1000);
Eu acho que isso é segurança pela obscuridade - nada sério.
Eu tenho vários sites que recebem milhares em alguns dias, é totalmente automatizado
Tom J Nowell
Também vimos um aumento acentuado nos bloqueios em nossos sites WordPress, entre no clube @Minapoli.
Andrew Bartel
Eu uso e adoro Limitar tentativas de login, mas, neste caso, não ajudará inteiramente, porque a botnet parece ser experiente o suficiente apenas para tentar algumas tentativas com um determinado endereço IP. Portanto, ele efetivamente ignora o bloqueio por IP ativado por repetidas falhas de login.
Chip Bennett
@Chip Bennett, parece que ele está apenas tentando 'aaa', 'administrator' e 'admin' em nossos sites, você vê outros nomes de usuários direcionados?
Andrew Bartel
2
@RRikesh Não tenho certeza. Geralmente siteurl/loginredireciona para a página de login correta.
Acabei de lançar um plug-in que faz isso por você, além de bloquear solicitações de não referência. (O bloco No-Refrrer atualmente não funciona para sites instalados em um subdiretório).
Observe que bloqueará os usuários com o PHP em execução por CGI (rápido).
fuxia
Obrigado por isso! Ele funciona no PHP-FPM, mas após a pesquisa, vejo que não funcionará quando o php estiver executando o CGI / SuExec. Vou fazer uma atualização rápida para desativar o plug-in nesse ambiente.
Chris_O
0
Você pode proteger seu administrador do WordPress seguindo os métodos.
Adicione números, caracteres especiais e alfabetos em sua senha de administrador e crie uma senha forte
Se você tiver mais registros em seu banco de dados, isso diminuirá a velocidade dos seus sites. Portanto, pode ser evitado adicionando captcha de imagem na sua página wp-admin. Alguns plugins estão disponíveis para isso. Como https://wordpress.org/plugins/wp-limit-login-attempts/
Respostas:
Atualmente, existe uma botnet ativa, atacando sites WordPress e Joomla . E provavelmente mais. Você deve ver mais logins bloqueados. Caso contrário, provavelmente há algo errado.
Mas lembre-se, o bloqueio de endereços IP não ajuda contra uma rede de bots com mais de 90.000 endereços IP.
E se você fizer isso por plug-in, evite Limitar tentativas de login . Ele armazena os IPs em uma opção serializada que precisa ser desserializada em cada solicitação. Isso é muito caro e lento.
Encontre um plug-in que use uma tabela de banco de dados separada ou bloqueie os endereços IP no seu .htaccess assim:
Veja também:
Também vale a pena dar uma olhada em nossa segurança de tags , especialmente:
Se você se mudou
wp-admin
ou seuswp-login.php
URLs ainda podem ser adivinhados anexando/login
ou/admin
ao URL principal. O WordPress redirecionará essas solicitações para o local correto.Para interromper esse comportamento, você pode usar um plugin muito simples:
Eu acho que isso é segurança pela obscuridade - nada sério.
fonte
siteurl/login
redireciona para a página de login correta.Além dos recursos listados em sua resposta, você também pode usar a autenticação HTTP básica do PHP para proteger com senha o wp-admin e ou wp-login.php para bloquear o acesso ao wp-login.php.
Acabei de lançar um plug-in que faz isso por você, além de bloquear solicitações de não referência. (O bloco No-Refrrer atualmente não funciona para sites instalados em um subdiretório).
fonte
Você pode proteger seu administrador do WordPress seguindo os métodos.
fonte