1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (2 оценок, среднее: 5,00 из 5)
Загрузка...

Плагины защитят сайт на вордпресс от роботов: sucuri, limit-login-attempts

Расскажу на личном опыте, какие плагины помогли избавиться от долбежки ботами и как узнать, что они атакуют. Когда заходят часто роботы, поставьте sucuri.

Анализ 4 сайтов: где какие роботы

Сукури-сканер (плагин на вордпресс) умеет ловить все попытки входов и показывать адреса с браузерами. По данным неудачных попыток можно определить, есть ли проблема и как много роботов заходят, по каким именам подбирают пароли.

Плагин ограничения попыток входов блокирует по ай пи. Однако, роботы поумнели и так попадаться стали реже, чем полгода назад.

роботы дятлы

С января. По логину “админ”

Список браузеров разный, обычно связка. Есть разбежка по времени входов.
Попытка по логину (домен сайта) единичная, с другой связки браузеров.

сетка браузеров
Другие логины: backup, shareworthintl, preview, login, test, administrator, asdasd, preview, jake, prospurts, quetzal, dexter, user, wproot, rootuser, jp, ancieneleve, wordcamp, Daniel, finartu, srobbens, fable, mikolas2008, admin-cud.

Позже — много попыток подряд войти с логина домена: 1 из них раньше, остальные через минуту. Периодически меняются связки браузеров.

Несколько попыток prospurts. Один раз с моего логина в комментариях quetzal неудачный вход.
Интересно то, что вместо браузеров неожиданно появился скрипт.
скрипты боты

В основном идут из-под логина “админ”, потом проскакивают пару раз другие и снова админ. Ancieneleve долго мучился. Тогда еще не стоял плагин ограничения попыток входа. Действовал под разными ай пи, но не всегда, иногда под одним.

Один раз логин настоящий, видимо, сама не смогла войти. Есть еще 3 входа от реального логина.

Снова идут заходы со скриптов
privacylocationforloc com

скрипт сукури плагин

Снова реальный домен 29.10 Mozilla/5.0 (Android 9; Mobile; rv:68.0) Gecko/68.0 Firefox/68.0. с того же браузера 5.11. числа

Идут 2 входа вообще без логинов.
Они меняют айпишники, поэтому не попадают в изоляции. Изоляций немного в целом.

Судя оп данным Сукури, на сайт ежедневно продолжают ломиться под логином admin. Поставила Сукури на второй сайт, пока тихо. А плагин ограничения тоже в последнее время очень редко ловит в изоляцию, хотя раньше это было проблемой.

Прошла неделя

Плагин limit-login-attempts (ограничение попыток входа)

Сайт1. Достаточно часто попадали в изоляцию по всем именам, хотя они удалены. Имя админа всего один раз. Это значит, имена в их базе, но уже невозможно зайти по им, так как не существует таких пользователей больше.
На этом сайте закрыт адрес админки и логина. Изменен с помощью плагина Clearfy.

Сайт 2. Подмены адреса еще нет. Пользователи не удалены некоторые. Только частично. Изоляций нет вообще. Раньше было много. Видимо, знают мало имен пользователей или перестали по много раз совершать попытки.

Сайт 3. Админка скрыта. Пользователей нет. Изоляций не много, в основном по имени admin. Не одного совпадения с реальным именем.

Показатели плагина sucuri

последние логины sucuri

Сайт 1

Много попыток с имени админа. Сначала были с имен пользователей, после их удаления и закрытия админки, стало идти от оставшегося имени — админа.

Сайт 2

Очень много попыток по реальному имени админа.
Входы имеют промежутки во времени 10 минут. Все с убунту, один браузер, разные ip. Эта схема обходит изоляции, так как разные айпишнкии, а вот по времени там стоит 20 минут, они могли бы попадать. Встречаются вот такие адреса: 2a00:dcc0:eda:88:245:71:1afb:f8f.

Они разные, конкретно этот нашелся: московский Мтс провайдер. А сеть AS8359 MTS PJSC.

ASN представляет собой группу из одного или нескольких префиксов IP, работающих у одного или нескольких сетевых операторов (провайдеров), которые имеют единую и четко определенную политику маршрутизации. Выделение номера Автономной системы AS (ASN) производится при необходимости для Пользователя иметь динамическую маршрутизацию по протоколу BGP с двумя и более операторами сети Интернет.

Как это видит метрика
метрика видит ботов

Сайт 3

Попытки войти через admin jcecchi. Второй логин был и на 1 сайте. Один робот видимо, работает уже не через убунту, а через Мозилла-Хром-Сафари. Цепочки идут. Есть в одно время, есть промежутки 10 минут. Час. Много за последние дни заходил робот Джесси. Интересно, видит ли метрика.

Отключила  XML-RPC. Протокол для удаленного обращения к сайту.

Прошло 2 недели

Очень помогли функции плагина Clearfy. Подмена адресных строк админки остановила роботов. Сукури не видит попыток входов больше. Регулярно стоит просматривать вебвизор яндекса. Роботы там видны по секундному времени и многократным заходам из-за рубежа. У меня обычно из-под Канады идут везде. О других плагинах защиты можно почитать здесь:https://psy-helga.ru/proverit-plaginy-proskanirovat-sajt/

Комментарии 3

  • Давно надо было тебе поменять адрес входа на сайт. А так роботы постоянно прощупывают стандартный адрес админки вордпресса.

    Еще можно блокировать бота по вводу определенного логина. Например админ или адрес домена.

    Еще сверху на вход поставь рекапчу и двухфакторную авторизацию. Тогда точно ни один таракан не проскользнет.))

  • я сдурнею от капчи. Подмена решила все вопросы. А вот блочить по адресу нет смыслаю Слишком много было. И с разных айпишников. А как делать двухфакторку?

  • Я подменила адрес админки везде. Помогло.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я согласен с политикой конфиденциальности

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.