← Conversa Geral

"Brute Force Attack" - Wordpress, alguém com este problema?

Lida 4520 vezes

Online

jorge_silva_3 
Beta tester
Mensagens 512 Gostos 57
Feedback +9

Troféus totais: 25
Trófeus: (Ver todos)
Level 5 Mobile User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2 Level 1

Muito bom dia,

Estou a iniciar este tópico para partilhar algumas ideias com vocês de sugestões ou opiniões sobre algo que me tem vindo a acontecer.

MILHARES de acessos à pagina wp-login do Wordpress de modo a conseguir descobrir as senhas... Mas o problema desses ataques é que apenas servem (na verdade) para conseguir colocar o site offline devido à grande carga que vai dar ao servidor.

O grande problema... São todos de Ips diferentes... E desse modo não posso simplesmente bloquear um Ip...

Tenho enfrentado este problema num dos meus websites, não sei porquê (talvez concorrência que prefere atacar do que ser melhor e passar), e ainda não arranjei maneira de o solucionar.

Alguma ideia ou sugestão? Já passaram pelo mesmo?
Offline

KnowTheGuy 
Beta tester
Mensagens 309 Gostos 88
Feedback +1

Troféus totais: 18
Trófeus: (Ver todos)
Level 4 Avatar Linux User Mobile User Level 3 Windows User Super Combination Combination Topic Starter Poll Voter

Sim, primeiro mudar o url da página "wp-admin" para outro ex: /acessowpadmin de forma a tentar "esconder" o url de login para administração podes fazer isso manualmente ou com plugin.

Segundo, o teu hosting provider tem de ter Firewall e um bom filtro de Anti-DDoS, posso te aconselhar alguns alojamentos.

Sem uma boa firewall dificilmente consegues resolver isso.
Online

jorge_silva_3 
Beta tester
Mensagens 512 Gostos 57
Feedback +9

Troféus totais: 25
Trófeus: (Ver todos)
Level 5 Mobile User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2 Level 1

Essa foi a primeira alteração que fiz, mas de pouco adiantou.

Podes mencionar aqui alguns desses alojamentos?
Offline

KnowTheGuy 
Beta tester
Mensagens 309 Gostos 88
Feedback +1

Troféus totais: 18
Trófeus: (Ver todos)
Level 4 Avatar Linux User Mobile User Level 3 Windows User Super Combination Combination Topic Starter Poll Voter

Essa foi a primeira alteração que fiz, mas de pouco adiantou.

Podes mencionar aqui alguns desses alojamentos?

Depende do que pretendes, eu aconselhava uma VPS se souberes configurar.

BuyVM.net (Pagas 3€/mês por filtros de Anti-DDoS)
Blazingfast.io
kms-hosting.com
myvirtualserver.de

Recomendo, estes.

Já agora utilizas Cloudflare? Podes tentar ir por essa via, configura o cloudflare e cria uma "regra" para pores o firewall no máximo na página de login, posso te ajudar nisso...
Online

jorge_silva_3 
Beta tester
Mensagens 512 Gostos 57
Feedback +9

Troféus totais: 25
Trófeus: (Ver todos)
Level 5 Mobile User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2 Level 1

Obrigado pelas recomendações, por acaso não estou com uma VPS devido à falta de experiência em gerir uma, mas vou comprar um plano num desses provedores com uma VPS totalmente gerida.

Quando ao CloudFlare já tinha feito isso, não adiantou.

Obrigado :P
Offline

KnowTheGuy 
Beta tester
Mensagens 309 Gostos 88
Feedback +1

Troféus totais: 18
Trófeus: (Ver todos)
Level 4 Avatar Linux User Mobile User Level 3 Windows User Super Combination Combination Topic Starter Poll Voter

Obrigado pelas recomendações, por acaso não estou com uma VPS devido à falta de experiência em gerir uma, mas vou comprar um plano num desses provedores com uma VPS totalmente gerida.

Quando ao CloudFlare já tinha feito isso, não adiantou.

Obrigado :P

Depois explica-lhes a situação, eles tem elevado know-how. Certamente vão te ajudar nisso.
Offline

Steve 
Membro
Mensagens 5 Gostos 1
Troféus totais: 7
Trófeus: (Ver todos)
Poll Voter Level 2 One year Anniversary Topic Starter Level 1 First Post Windows User

O plugin para Wordpress: Wordfence é a solução para esse problema.

Tem muitas configurações interessantes mesmo na versão free, para este caso, eu configurava para dar um ban permanente a todos os IP que tentarem logar com o username: admin, administrator, user, username, test, etc. (ou outro que esteja a ser utilizado pelos atacantes).
Dar um ban de 30min a todos os IP que tentarem logar mais de 5 vezes em uma conta.

Mesmo a utilizarem proxies, eles custam dinheiro e não são infinitos, eventualmente consegues banir todos os IP dos atacantes.
Offline

KnowTheGuy 
Beta tester
Mensagens 309 Gostos 88
Feedback +1

Troféus totais: 18
Trófeus: (Ver todos)
Level 4 Avatar Linux User Mobile User Level 3 Windows User Super Combination Combination Topic Starter Poll Voter

O plugin para Wordpress: Wordfence é a solução para esse problema.

Tem muitas configurações interessantes mesmo na versão free, para este caso, eu configurava para dar um ban permanente a todos os IP que tentarem logar com o username: admin, administrator, user, username, test, etc. (ou outro que esteja a ser utilizado pelos atacantes).
Dar um ban de 30min a todos os IP que tentarem logar mais de 5 vezes em uma conta.

Mesmo a utilizarem proxies, eles custam dinheiro e não são infinitos, eventualmente consegues banir todos os IP dos atacantes.

Pelo contrário, esse Wordfence é um abre portas a vulnerabilidades no Wordpress, usar plugins de segurança como forma de impedir seja o que for, é mau.

Não é desconhecido, de que quanto mais plugins usares pior é o desempenho do site e mais chancês de teres vulnerabilidades é muito maior.

Isso não vai fazer grande coisa, alias podes até ser banido. Facil de resolver no entanto para iniciantes pode ser uma dor de cabeça, especialmente para quem tem IP Fixo.

Só para teres noção, deixo-te um pequeno screenshot das vulnerabilidades de muitos plugins que nem imaginas, na altura pode dar um jeitão, mas por detrás criam "buracos" que podem ser explorados por quem sabe.

https://i.imgur.com/frKu5Mx.png (Só isto perguntas tu? Tem muito mais paginas...)

Tal como disse, o melhor é procurar um alojamento gerido com Firewall e um Anti-DDoS, ese WordFence bloqueia as tentativas, mas não bloqueia o tráfego completamente. Não esquecer que o site cai devido as inumeras tentativas de login.

É como se fosse vários carros a entrar no tunel e a entupir de carros em simultaneamente.

Sem querer ofender, critica construtiva mas também és daqueles que pensa que esse plugin protege de ataques de DDoS?  :lol:

Cuidado, não pensem que todos os plugins do Wordpress vão vos resolver tudo! Plugins são um extra, não a salvação.
Online

jorge_silva_3 
Beta tester
Mensagens 512 Gostos 57
Feedback +9

Troféus totais: 25
Trófeus: (Ver todos)
Level 5 Mobile User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2 Level 1

Bem, desde já obrigado aos dois pela ajuda :D

Por agora os ataques têm parado, mas ja comprei hospedagem num bom servidor com um bom filtro Anti-DDos.

Não utilizei mais plugins mesmo por causa disso, li em alguns fóruns que criam ainda mais vulnerabilidades.

Espero que a troca de hospedagem seja suficiente, pelo menos para levar com os ataques e o servidor não ir abaixo.
Offline

Steve 
Membro
Mensagens 5 Gostos 1
Troféus totais: 7
Trófeus: (Ver todos)
Poll Voter Level 2 One year Anniversary Topic Starter Level 1 First Post Windows User

Não levo nada a mal o que disseste, um fórum é para discutir ideias.

O Wordfence não abre portas a nenhuma vulnerabilidade. E é um facto, que é muito melhor tê-lo ativo no website, do que não ter.
Para estares a dizer que o Wordfence "não vai fazer grande coisa" só posso assumir que ou nunca o usaste ou não o sabes usar.
Desde a bloquear tentativas de brute-force, a uploads indevidos mesmo quando existe um 0day (sem ser do Wordfence claro), o Wordfence protege um website de mil e uma maneiras.

Não percebi isso que disseste quem tem IP fixo pode ser banido.

Essa screenshot mostra vulnerabilidades de vários plugins do Wordpress, sim, concordo que existem várias vulnerabilidades, mas se procurares exploits com a keyword "wordfence", vais encontrar unicamente dois exploits, em que o último é de 14/09/2014 (sim, já à 4 anos que não se descobre exploits públicos para o wordfence).

Quanto a isso que dizes se eu penso que o Wordfence protege de ataques DDoS, não só penso isso, como tenho a certeza.
O Wordfence além de scanner tem função de firewall, logo sim, podes bloquear acessos indevidos e limitar bandwidth quando é detetado X requests por segundo, ou até mesmo bloquear indefinidamente.

Agora, existem vários alvos que ao ser atacados podem gerar um DDoS que mesmo com firewall no website não resolve nada. Mas neste caso, seja com Wordfence, seja com uma firewall no hosting, o resultado seria o mesmo, nenhum.
E claro, que a melhor maneira de proteger um website de um DDoS é evitar que seja possível ele acontecer (pelo menos diretamente), pela minha experiência basta utilizar o Cloudflare para esconder o IP do servidor e não à maneira de um atacante seque saber qual é o IP para realizar o ataque.

Quanto à performance, o Wordfence não tem impacto nenhum, a menos claro, que estejamos a falar de um hosting mesmo fraco que quando o Wordfence inicia o scan começa a dar avisos de limites de IO excedido (olá amen.pt).
Offline

randomcath 
Membro
Mensagens 1 Gostos 0
Troféus totais: 3
Trófeus: (Ver todos)
Level 1 First Post Windows User

Tive esse problema e tinha o site constantemente a ir abaixo. Acabei por bloquear o acesso com um ficheiro .htaccess, é chato porque tenho de por duas vezes passwords diferentes (não tenho ip fixo mas se tivesse seria mais simples - poderia bloquear tudo menos o meu ip) mas imediatamente o problema ficou resolvido.