Como bloquear ataques ao admin do Wordpress para ips internacionais.

[Fernando Rafs]

@Guto

 

 

 

Esta configuração já é padrão nos servidores e somente funcionará no caso do cliente possui um .htaccess com proteção por senha ou se a regra modsecurity for condicionada a efetuar o bloqueio. Neste caso não funciona.

 

Acabei descobrindo uma regra e após testes pude constatar sua eficiência, realmente realiza o bloqueio no CSF entre 5/10 tentativas de acesso ao wp-admin com dados inválidos. Estarei enviado para quem quiser testar/utilizar.

 

Segue a regra (Estou utilizando desde às 20:30hs de ontem e está bloqueando corretamente)

#Block WP logins with no referring URL
<Locationmatch "/wp-login.php">
SecRule REQUEST_METHOD "POST" "deny,status:401,id:5000130,chain,msg:'wp-login request blocked, no referer'"
SecRule &HTTP_REFERER "@eq 0"
</Locationmatch>

#Wordpress Brute Force detection
SecAction phase:1,nolog,pass,initcol:ip=%{REMOTE_ADDR},id:5000134
<Locationmatch "/wp-login.php">
# Setup brute force detection.
# React if block flag has been set.
SecRule ip:bf_block "@gt 0" "deny,status:401,log,id:5000135,msg:'ip address blocked for 5 minutes, more than 10 login attempts in 3 minutes.'"
# Setup Tracking. On a successful login, a 302 redirect is performed, a 200 indicates login failed.
SecRule RESPONSE_STATUS "^302" "phase:5,t:none,nolog,pass,setvar:ip.bf_counter=0,id:5000136"
SecRule RESPONSE_STATUS "^200" "phase:5,chain,t:none,nolog,pass,setvar:ip.bf_counter=+1,deprecatevar:ip.bf_counter=1/180,id:5000137"
SecRule ip:bf_counter "@gt 10" "t:none,setvar:ip.bf_block=1,expirevar:ip.bf_block=300,setvar:ip.bf_counter=0"
</locationmatch>

Estou utilizando esta regra através do plugin da COMODO da seguinte forma:

 

1. Acesse o WHM e vá em Plugins > Comodo WAF

2. Estando no plugin clique na aba "Userdata" depois adicione este conjunto de regras na opção "Custom Rules".

 

Ficando da seguinte forma:

 

 

Importante: Ao utilizar a regra acima, qualquer outra regra de Bruteforce para o Wordpres deve ser desabilitada e não deve estar utilizando a proteção do wp-admin por htaccess.

[MyWay Hosting]

 

 

Olá Guto. 

 

Dentro da home eu tenho um 404.shtml. Talvez seja por isso que estava carregando a 404 do Wordpress.

 

Nas últimas linhas do código tem

 

ErrorDocument 403 /404.shtml

 

e havendo um 404.shtml dentro da home ( antes de qualquer user ) faz com que este seja carregado.

 

Já na primeira linha, fizemos uma modificação e atualmente usamos mais 2 arquivos para bloquear. Um tal de plugin_googlemap2_proxy.php instalados por alguns clientes que percebemos ataques e que também gera sobrecarga e modules.php.

 

<files ~ "(wp-login.php|admin-ajax.php|plugin_googlemap2_proxy.php|modules.php)$">

 

Abraços !

[MyWay Hosting]

Estou utilizando esta regra através do plugin da COMODO da seguinte forma:

 

1. Acesse o WHM e vá em Plugins > Comodo WAF

2. Estando no plugin clique na aba "Userdata" depois adicione este conjunto de regras na opção "Custom Rules".

 

Ficando da seguinte forma:

 

 

 

 

 

O problema desta regra é que irá inundar o firewall de ips bloqueados. Temos sites em wordpress com centenas de milhares de tentativas de hacks. Mais de 10 mil ips tentando acessar e quebrar a senha. Então o firewall não serve para ajudar. O firewall no .htaccess é muito mais eficiente alem de vc poder proteger outros arquivos conforme minha última resposta !

 

Abraços

[Hospedagem Real]

A maioria dos clientes, instalam o wordpress pelo softaculous, e com isso voce pode fazer com que já instale um plugin muito bom, o "Limit Login Attempts" .

Ele não bloquea os ips internacionais já diretamente, pelo próprio nome, existe limite login, se utrapassar o ip é bloqueado e mais não só ip, e sim o navegador de quem acessou, dificultando mais ainda.

Pode ativar isso, no softaculous como padrão só ir em

 

Painel WHM > Softaculous > Software > Advanced Security e marcando o plugin Limit Login, em Enable e Default o plugin e salvar

 

E pronto :D

 

Uso, meus clientes usam e nunca tive problemas :)

[opencag]

Como faz para colocar o allow from na frente dos IPS atualizados ?

[MyWay Hosting]

A maioria dos clientes, instalam o wordpress pelo softaculous, e com isso voce pode fazer com que já instale um plugin muito bom, o "Limit Login Attempts" .

Ele não bloquea os ips internacionais já diretamente, pelo próprio nome, existe limite login, se utrapassar o ip é bloqueado e mais não só ip, e sim o navegador de quem acessou, dificultando mais ainda.

Pode ativar isso, no softaculous como padrão só ir em

 

Painel WHM > Softaculous > Software > Advanced Security e marcando o plugin Limit Login, em Enable e Default o plugin e salvar

 

E pronto :D

 

Uso, meus clientes usam e nunca tive problemas :)

 

O problema é que os ataques tem sido feitos por atacantes usando milhares de ips e cada ip tenta algumas vezes, trocando para o próximo ip logo em seguida. Alem de continuar sendo inseguro usar esse plugin você ainda terá um enorme volume de LOAD no servidor já que é feita consulta ao banco de dados. Então o melhor é dar um DENY e pronto.

Editado Julho 23, 2015 por MyWay Hosting

[Jorge Marcelino]

 

O problema é que os ataques tem sido feitos por atacantes usando milhares de ips e cada ip tenta algumas vezes, trocando para o próximo ip logo em seguida. Alem de continuar sendo inseguro usar esse plugin você ainda terá um enorme volume de LOAD no servidor já que é feita consulta ao banco de dados. Então o melhor é dar um DENY e pronto.

Concordo, imagine milhares de ips requisitando? por mais que limite o número de tentativas vai causar sobrecarga.

[Jorge Marcelino]

@MyWay Hosting Vejo um aumento grande de tentativas de brute force, porém agora os IP's são BRs. Alguém mais?

 

[leoreis]

[mention=16803]MyWay Hosting[/mention] Vejo um aumento grande de tentativas de brute force, porém agora os IP's são BRs. Alguém mais?
 

Aqui está acontecendo com frequência também.

Enviado de meu Redmi Note 3 usando o Tapatalk

[Jorge Marcelino]

 

Aqui está acontecendo com frequência também.

Enviado de meu Redmi Note 3 usando o Tapatalk
 

Comecei a utilizar o cpguard, plugin completo! WAF muito bom mesmo, resolveu o problema: https://www.opsshield.com/