Ir para conteúdo
  • Cadastre-se

Como bloquear ataques ao admin do Wordpress para ips internacionais.

MyWay Hosting

Por MyWay Hosting
em Segurança

 Compartilhar

Posts Recomendados

Fernando Rafs

Fernando Rafs

Postado
Postado

@Guto

 

csf_para_htaccess_modsec.png

 

 

Esta configuração já é padrão nos servidores e somente funcionará no caso do cliente possui um .htaccess com proteção por senha ou se a regra modsecurity for condicionada a efetuar o bloqueio. Neste caso não funciona.

 

Acabei descobrindo uma regra e após testes pude constatar sua eficiência, realmente realiza o bloqueio no CSF entre 5/10 tentativas de acesso ao wp-admin com dados inválidos. Estarei enviado para quem quiser testar/utilizar.

 

Segue a regra (Estou utilizando desde às 20:30hs de ontem e está bloqueando corretamente)

#Block WP logins with no referring URL
<Locationmatch "/wp-login.php">
SecRule REQUEST_METHOD "POST" "deny,status:401,id:5000130,chain,msg:'wp-login request blocked, no referer'"
SecRule &HTTP_REFERER "@eq 0"
</Locationmatch>

#Wordpress Brute Force detection
SecAction phase:1,nolog,pass,initcol:ip=%{REMOTE_ADDR},id:5000134
<Locationmatch "/wp-login.php">
# Setup brute force detection.
# React if block flag has been set.
SecRule ip:bf_block "@gt 0" "deny,status:401,log,id:5000135,msg:'ip address blocked for 5 minutes, more than 10 login attempts in 3 minutes.'"
# Setup Tracking. On a successful login, a 302 redirect is performed, a 200 indicates login failed.
SecRule RESPONSE_STATUS "^302" "phase:5,t:none,nolog,pass,setvar:ip.bf_counter=0,id:5000136"
SecRule RESPONSE_STATUS "^200" "phase:5,chain,t:none,nolog,pass,setvar:ip.bf_counter=+1,deprecatevar:ip.bf_counter=1/180,id:5000137"
SecRule ip:bf_counter "@gt 10" "t:none,setvar:ip.bf_block=1,expirevar:ip.bf_block=300,setvar:ip.bf_counter=0"
</locationmatch>

Estou utilizando esta regra através do plugin da COMODO da seguinte forma:

 

1. Acesse o WHM e vá em Plugins > Comodo WAF

2. Estando no plugin clique na aba "Userdata" depois adicione este conjunto de regras na opção "Custom Rules".

 

Ficando da seguinte forma:

 

2j2g45v.png

 

Importante: Ao utilizar a regra acima, qualquer outra regra de Bruteforce para o Wordpres deve ser desabilitada e não deve estar utilizando a proteção do wp-admin por htaccess.

1
Link para o comentário
Compartilhar em outros sites
MyWay Hosting

MyWay Hosting

Postado
  • Autor
Postado

 

 

Olá Guto. 

 

Dentro da home eu tenho um 404.shtml. Talvez seja por isso que estava carregando a 404 do Wordpress.

 

Nas últimas linhas do código tem

 

ErrorDocument 403 /404.shtml
 
e havendo um 404.shtml dentro da home ( antes de qualquer user ) faz com que este seja carregado.
 
Já na primeira linha, fizemos uma modificação e atualmente usamos mais 2 arquivos para bloquear. Um tal de plugin_googlemap2_proxy.php instalados por alguns clientes que percebemos ataques e que também gera sobrecarga e modules.php.
 
<files ~ "(wp-login.php|admin-ajax.php|plugin_googlemap2_proxy.php|modules.php)$">
 

Abraços !

1
Link para o comentário
Compartilhar em outros sites
MyWay Hosting

MyWay Hosting

Postado
  • Autor
Postado

Estou utilizando esta regra através do plugin da COMODO da seguinte forma:

 

1. Acesse o WHM e vá em Plugins > Comodo WAF

2. Estando no plugin clique na aba "Userdata" depois adicione este conjunto de regras na opção "Custom Rules".

 

Ficando da seguinte forma:

 

2j2g45v.png

 

 

 

 

O problema desta regra é que irá inundar o firewall de ips bloqueados. Temos sites em wordpress com centenas de milhares de tentativas de hacks. Mais de 10 mil ips tentando acessar e quebrar a senha. Então o firewall não serve para ajudar. O firewall no .htaccess é muito mais eficiente alem de vc poder proteger outros arquivos conforme minha última resposta !

 

Abraços

1
Link para o comentário
Compartilhar em outros sites
Hospedagem Real

Hospedagem Real

Postado
Postado

A maioria dos clientes, instalam o wordpress pelo softaculous, e com isso voce pode fazer com que já instale um plugin muito bom, o "Limit Login Attempts" .

Ele não bloquea os ips internacionais já diretamente, pelo próprio nome, existe limite login, se utrapassar o ip é bloqueado e mais não só ip, e sim o navegador de quem acessou, dificultando mais ainda.

Pode ativar isso, no softaculous como padrão só ir em

 

Painel WHM > Softaculous > Software > Advanced Security e marcando o plugin Limit Login, em Enable e Default o plugin e salvar

 

E pronto :D

 

Uso, meus clientes usam e nunca tive problemas :)

1
Link para o comentário
Compartilhar em outros sites
MyWay Hosting

MyWay Hosting

Postado
  • Autor
Postado (editado)

A maioria dos clientes, instalam o wordpress pelo softaculous, e com isso voce pode fazer com que já instale um plugin muito bom, o "Limit Login Attempts" .

Ele não bloquea os ips internacionais já diretamente, pelo próprio nome, existe limite login, se utrapassar o ip é bloqueado e mais não só ip, e sim o navegador de quem acessou, dificultando mais ainda.

Pode ativar isso, no softaculous como padrão só ir em

 

Painel WHM > Softaculous > Software > Advanced Security e marcando o plugin Limit Login, em Enable e Default o plugin e salvar

 

E pronto :D

 

Uso, meus clientes usam e nunca tive problemas :)

 

O problema é que os ataques tem sido feitos por atacantes usando milhares de ips e cada ip tenta algumas vezes, trocando para o próximo ip logo em seguida. Alem de continuar sendo inseguro usar esse plugin você ainda terá um enorme volume de LOAD no servidor já que é feita consulta ao banco de dados. Então o melhor é dar um DENY e pronto.

Editado por MyWay Hosting
0
Link para o comentário
Compartilhar em outros sites
Jorge Marcelino

Jorge Marcelino

Postado
Postado

 

O problema é que os ataques tem sido feitos por atacantes usando milhares de ips e cada ip tenta algumas vezes, trocando para o próximo ip logo em seguida. Alem de continuar sendo inseguro usar esse plugin você ainda terá um enorme volume de LOAD no servidor já que é feita consulta ao banco de dados. Então o melhor é dar um DENY e pronto.

Concordo, imagine milhares de ips requisitando? por mais que limite o número de tentativas vai causar sobrecarga.

1

 www.HostSeries.com.br - Hospedagem de sites | Revenda de Hospedagem cPanel | VPS KVM SSD | Streaming | Performance Superior com discos SSD NVMe e Litespeed! Data center Tier 4 HIVELOCITY

Link para o comentário
Compartilhar em outros sites
Jorge Marcelino

Jorge Marcelino

Postado
Postado

@MyWay Hosting Vejo um aumento grande de tentativas de brute force, porém agora os IP's são BRs. Alguém mais?

 

0

 www.HostSeries.com.br - Hospedagem de sites | Revenda de Hospedagem cPanel | VPS KVM SSD | Streaming | Performance Superior com discos SSD NVMe e Litespeed! Data center Tier 4 HIVELOCITY

Link para o comentário
Compartilhar em outros sites
Jorge Marcelino

Jorge Marcelino

Postado
Postado
 

Aqui está acontecendo com frequência também.

Enviado de meu Redmi Note 3 usando o Tapatalk
 

Comecei a utilizar o cpguard, plugin completo! WAF muito bom mesmo, resolveu o problema: https://www.opsshield.com/

0

 www.HostSeries.com.br - Hospedagem de sites | Revenda de Hospedagem cPanel | VPS KVM SSD | Streaming | Performance Superior com discos SSD NVMe e Litespeed! Data center Tier 4 HIVELOCITY

Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

×
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept