И опять атака на сайты Wordpress — перебор + XMLRPC
С полудня субботы на моем сервере где хостится около 25 сайтов на Wordpress начались дикие тормоза. Так как мне удалось пережить предыдущие атаки (атака 1 ровно год назад, атака 2 в марте) не замеченными, то я не сразу понял в чем дело.Когда разобрался, то выяснилось, что идет перебор паролей + множество запросов к XMLRPC.
В результате удалось это все отсечь, хотя и не сразу. По катом три простых приема как этого избежать.Эти приемы скорее всего всем известны, но я наступил на пару граблей, которых не нашел в описаниях и вдруг это кому-то сэкономит время.
1. Останавливаем перебор, плагин Limit Login Attempts — ставим именного его, так другие защиты сильно подвешивают сервер, например, при использовании плагина Login Security Solution сервер умер через полчаса, плагин сильно грузит базу.В настройке обязательно включите галочку «За прокси» — иначе он будет для всех определять ip вашего сервера и автомат блокировать всех.
2. Отключаем XML-RPC — плагин Disable XML-RPC (его просто активировать и всё)
3. Закрываем wp-login.php — если обращаться к сайту через ip, то плагин не срабатывает и подборщики продолжают долбить сайт. Чтобы этого избежать в .htaccess добавляем
После этих 3 несложных шагов сайты опять начали летать и пришло спокойствие.
Ну и вдруг интересно Один из вариантов как посмотреть, что вас атакуют. Это можно увидеть в логах nginx (например вот путь для Debian /var/log/nginx файл access.log).
Если идет перебор, то вы увидите множество строк вида87.230.87.xx — — [04/Aug/2014:06:35:53 +0400] «POST /wp-login.php HTTP/1.0» 200 5791 »-» »-»
Запросы XMLRPC95.0.83.xx — — [04/Aug/2014:06:48:03 +0400] «POST /xmlrpc.php HTTP/1.0» 499 0 »-» «Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)»
