С полудня субботы на моем сервере где около 25 сайтов на WordPress начались дикие тормоза. Так как мне удалось пережить предыдущие атаки (атака 1 ровно год назад, атака 2 в марте) не замеченными, то я не сразу понял в чем дело.
Когда разобрался, то выяснилось, что идет перебор паролей + множество запросов к XMLRPC.
В результате удалось это все отсечь, хотя и не сразу. По катом три простых приема как этого избежать.
Эти приемы скорее всего всем известны, но я наступил на пару граблей, которых не нашел в описаниях и вдруг это кому-то сэкономит время.
1. Останавливаем перебор, плагин Limit Login Attempts — ставим именного его, так другие защиты сильно подвешивают сервер, например, при использовании плагина Login Security Solution сервер умер через полчаса, плагин сильно грузит базу.
В настройке обязательно включите галочку «За прокси» — иначе он будет для всех определять ip вашего сервера и автомат блокировать всех.
2. Отключаем XML-RPC — плагин Disable XML-RPC (его просто активировать и всё)
3. Закрываем wp-login.php — если обращаться к сайту через ip, то плагин не срабатывает и подборщики продолжают долбить сайт. Чтобы этого избежать в .htaccess добавляем
<Files wp-login.php>
Order Deny,Allow
Deny from all
</Files>
файл wp-login копируем, переименовываем в любое странное имя, например poletnormalny.php и внутри файла автозаменой меняем все надписи wp-login.php на poletnormalny.php
Все, теперь к админке можно обратиться только по вашему файлу.
После этих 3 несложных шагов сайты опять начали летать и пришло спокойствие.
Ну и вдруг интересно
Один из вариантов как посмотреть, что вас атакуют. Это можно увидеть в логах nginx (например вот путь для Debian /var/log/nginx файл access.log).
Если идет перебор, то вы увидите множество строк вида
87.230.87.xx — - [04/Aug/2014:06:35:53 +0400] «POST /wp-login.php HTTP/1.0» 200 5791 "-" "-"
Запросы XMLRPC
95.0.83.xx — - [04/Aug/2014:06:48:03 +0400] «POST /xmlrpc.php HTTP/1.0» 499 0 "-" «Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)»
Автор: awaik
