it-swarm.com.de

Soll ich Anmelde- / Administrationsseiten auf die Startseite umleiten?

Ich bin gerade in einer Sicherheitslücke und mein aktuelles Projekt ist ein Server mit einer Wordpress Site (die früher eine Joomla Site war). Ich bekomme manchmal 50 Anfragen pro Tag dazu

/wp-login.php (die Wordpress Standardanmeldeseite)

oder

/ administrator (die Standardanmeldeseite von Joomla)

Ich verschleiere meine Anmeldeseite so dass sie 404 aber sie geben weiterhin 200 OK anstelle von 404 Not Found.

Ich möchte nicht, dass Leute versuchen, meine Website zu hacken.

Ich denke darüber nach, diese Anfragen auf die Homepage umzuleiten, um die Brute-Force-Bots zu verwirren. Wäre ein solcher Ansatz mit Nachteilen verbunden?


Ich denke auch darüber nach, andere Hack-Anfragen zu senden, wie Autorenseiten, Suchseiten und nicht existierende Plugins.

2
Coomie

Die kurze Antwort auf Ihre Frage lautet "Nein". Es wird kein Problem geben, dies zu tun, aber ich werde definitiv ein gefälschte /administrator- und /wp-login.php -Dateien aufbewahren. Das wird Bots und Fremde für nichts beschäftigen.

Andererseits würde ich berücksichtigen:

  • Passwort schützen den realen Server
  • Anmeldeversuche begrenzen
  • Zugriff auf Anmeldedateien über IP zulassen
  • Ändern Sie das Standard-Datenbankpräfix
  • Deaktivieren Sie das Durchsuchen von Verzeichnissen
3
Emirodgar

Nicht Brute Force

50 Anfragen pro Tag sind keine rohe Gewalt. Das heißt, es sei denn, Ihre Kennwortanforderungen sind nur zwei Zeichen lang. In den meisten Fällen handelt es sich bei diesen Treffern nur um Internetscanner, die nach bestimmten Anmeldeinformationen suchen und dann zum nächsten wechseln.

Brute Force-Anmeldungen

Erwägen Sie, ein Captcha oder besser noch eine Form der Zwei-Faktor-Authentifizierung hinzuzufügen. Es gibt eine Reihe von zwei verfügbaren Faktoroptionen, z. B. Google Authenticator, Duo Security usw. Wenn Sie eine auswählen, die am besten zu Ihrer Umgebung passt, werden Sie festgelegt.

404 vs 301

Halten Sie sich an die RFC-Standards. Wenn die Seite nicht existiert, geben Sie einen 404 zurück, und wenn der Anwendungseigentümer bestimmte Anforderungen an eine bestimmte Seite umleiten möchte, verwenden Sie einen 301. Ein entschlossener Gegner lässt sich von den von Ihnen vorgeschlagenen Verschleierungstechniken nicht täuschen, während Internetscanner und Bots keine wirkliche Bedrohung darstellen, es sei denn, Sie sind bereits gefährdet. Dies führt mich zum nächsten Punkt ...

WordPress sichern

WordPress hat eine große Angriffsfläche, wie die Länge des OWASP WordPress Security Implementation Guideline zeigt. Ihre Zeit wird besser damit verbracht, dieses Dokument durchzuarbeiten.

2
user2320464

Verwenden Sie drei Dinge, um Ihre Site vor Spam zu schützen.

Captcha hinzufügen, Deaktivieren Sie die Option Jeder kann sich in den Einstellungen der Wp-Site registrieren. (Wenn Ihre Site über keine Benutzerkontofunktionalität verfügt) Verwenden Sie dieses Plugin, um Ihre Anmeldeseite auszublenden https://wordpress.org/plugins/wps-hide-login/

wenn Ihr Site-Benutzername admin ist, ändern Sie ihn in einen anderen, da der Begriff "admin" sehr häufig vorkommt und von Spam-Maut und -Schmutz betroffen ist.

1
Harpreet Munjal

Ich habe vor ein paar Jahren einen Artikel geschrieben, und es lohnt sich, ihn zu lesen, insbesondere den Abschnitt über "Erstellen eines starken komplexen Passworts"

10 Möglichkeiten, um Brute Force-Angriffe in WordPress zu stoppen

Viele WP Plugins stoppen Brute-Force-Hacker auf ihren Spuren, da die meisten Plugins nach X-Versuchen versuchen, IP-Adressen zu verbieten.

Die meisten Plugins heben Sperren nach X Minuten auf, was bedeutet, dass Sie bei genügend IP-Adressen gegen diese Sperren ziemlich immun sind, es sei denn, Sie verwenden eine extrem lange Dauer für diese Sperren. Administratoren verwenden im Allgemeinen keine langfristigen Sperren, da sie nicht selbst gesperrt werden möchten.

Viele der aktuellen Antworten sind viel zu kompliziert

Normalerweise würde ich vorschlagen, fail2ban oder wp-login.php zu verstecken, aber 50 Angriffe sind nichts! mit einem anständigen Passwort würde es viele Jahrzehnte dauern. Persönlich würde ich die Dinge einfach halten und einfach installieren ... Loginizer für WordPress.

Es wird von Millionen von Websites verwendet und durch die Installation werden fehlerhafte Benutzer für ein paar Stunden, einen Tag, Wochen, Monate oder sogar Jahre automatisch von der IP-Adresse ausgeschlossen. Außerdem wird angezeigt, wie viele Angriffe blockiert wurden.

1
Simon Hayter