web-dev-qa-db-fra.com

Questions sur les attaques par force brute sur le nom d'utilisateur admin, provenant d'adresses IP Amazon

Je suis développeur (pas wordpress cependant) dans une entreprise. Nous utilisons une instance EC2 pour héberger notre site wordpress. Je n'ai pas réellement de compte nommé "admin", mais nous avons iThemes Security Pro qui interdit définitivement les adresses IP qui tentent de se connecter en tant qu'utilisateur "admin".

Il y a environ une semaine, j'ai reçu une notification de verrouillage de site provenant d'une adresse IP au Brésil et d'une autre en Ukraine, où ces adresses IP avaient tenté d'accéder via le nom d'utilisateur admin. Je pensais que tout allait bien, mais ces derniers jours, je recevais des courriels environ toutes les 15 minutes, disant qu'une autre adresse IP avait été verrouillée pour tenter de se connecter en tant qu'administrateur.

Je pensais que je ferais une interdiction large IP pour cette page pour certaines adresses IP, mais je me rends compte que toutes les attaques récentes ont été aux États-Unis. Et avec le temps, les adresses IP semblent se rapprocher de plus en plus de l'emplacement du serveur actuel (en Oregon). Une autre chose est que toutes ces adresses semblent être enregistrées auprès d'Amazon. Il peut donc s'agir d'instances EC2 elles-mêmes.

Pour essayer de suivre le rythme, j'ai essayé de mettre un captcha sur la page de connexion en utilisant le plugin suivant . Le captcha apparaît sur la page de connexion de mon administrateur. Cependant, les robots sont en quelque sorte capables de passer outre cela et tentent de se connecter sans terminer le captcha.

Est-ce que quelqu'un a un conseil sur ce qu'il faut faire pour arrêter cela?

1
Alex

Je l'ai remarqué moi-même une fois (je ne me souviens pas s'il s'agissait du même plugin). Le captcha était assis là, mais le simple fait de soumettre le formulaire ne provoquait pas d'erreur et fonctionnait parfaitement, me connectant.

Mon conseil n ° 1: utilisez un plugin pour renommer wp-login.php en quelque chose d'autre. Cela va effectivement arrêter ces robots (et retarder l'attaquant qui vous cible spécifiquement, mais ce sont très rares), et vous venez de dire à vos utilisateurs légitimes sur la nouvelle URL à utiliser pour la connexion. Évidemment, ce ne sera pas une option si vous avez des milliers d'utilisateurs, mais pour votre site d'entreprise moyen, c'est le cas.

Vous pouvez également envisager de désactiver XMLRPC et l'API REST si vous ne les utilisez pas, car ils fournissent une surface d'attaque plus étendue.

En dehors de cela, il semble que vous soyez déjà bien préparé et une attitude active en matière de sécurité est toujours un excellent point de départ.

1
janh