web-dev-qa-db-fra.com

Sécurité Wordpress - Comment bloquer un accès alternatif à Wordpress

Je possède un blog Wordpress 3.5 auto-hébergé. Je travaille sur sa sécurité et j'essaie d'empêcher les non-écrivains d'accéder à quelque chose d'administrateur qu'ils ne devraient pas.

Récemment, j'ai essayé une meilleure sécurité Wordpress , j'ai vraiment aimé certaines des suggestions htaccess qu'ils ont. Principalement celui qui cache/wp-admin/avec une clé unique, même s'il y avait quelques trous de boucle, vous pouvez comprendre la clé en utilisant la requête de déconnexion. Quoi qu'il en soit: En supposant que mes/wp-admin/et wp-login.php affichent maintenant un 404 introuvable, je pensais que les robots automatisés cesseraient de me frapper. Mais ils ne l'ont pas fait. Je reçois toujours des notifications de verrouillage de site.

Je suppose que Wordpress dispose d’autres itinéraires standard pour les connexions distantes que les attaquants essaient encore d’exploiter. Je ne trouve aucune documentation à ce sujet ni quoi que ce soit dans les paramètres. Cependant, au début de la semaine, un de nos écrivains m'a posé la question d'écrire sur notre Wordpress via son smartphone. Il y a cette application Android/iOS. J'ai donc essayé et je pensais que cela ne fonctionnerait pas car l'itinéraire normal en renvoie 404. Mais j'ai réussi à me connecter avec succès dans l'application. Alors, comment fonctionne-t-il - où envoie-t-il la requête?

En bref, je pourrais vraiment utiliser une explication/un article sur le fonctionnement des logins Wordpress.

Note: Je n'ai actuellement pas basicauth over/wp-admin /

1
ido

J'ai pensé que je regarderais simplement dans le code source de l'application Android pour voir comment elle communique. Vous pouvez rapidement voir XML-RPC dans le source.

Un autre moyen d'accéder au blog consiste donc à utiliser le support de Wordpress XML-RPC . Il a été amélioré et activé par défaut dans la version 3.5 très récemment. Je ne comprends pas pourquoi ils l'ont ramené sans pouvoir l'éteindre. Il était actif jusqu'à la version 2.6, puis désactivé par défaut, et il est maintenant de retour dans la version 3.5.

J'ai donc trouvé ce post . Il explique comment désactiver XML-RPC avec une ligne de code respectée par Wordpress:

Dans votre fichier wp-cinfig.php, ajoutez cette ligne après require_once(ABSPATH . 'wp-settings.php');:

add_filter('xmlrpc_enabled', '__return_false');

Cette entièrement désactivé tout accès que j'ai eu de l'application Android. Pour l'instant, je ne reçois aucune notification de verrouillage de site par les mauvaises connexions, mission accomplie!

Remarque: avant de désactiver, j'ai effectué un test pour m'assurer que BWPS analyse également les mauvaises connexions depuis xmlrpc. Verrouillé moi-même en utilisant mon téléphone sur une 3g et a reçu une notification plus tard par email. Dans le cas contraire, toute cette théorie serait discutable. Alors faites-vous une faveur et désactivez xmlrpc maintenant! Sauf si vous l'utilisez réellement et que vous n'êtes pas soumis à des attaques constantes d'adresses IP turques.

2
ido