АРМАДА
Брутят админки сайтов - как боретесь?
На страницу Пред.  1, 2
Новая тема Написать ответ Advanced Hosters - профессиональный хостинг
Чт Dec 11, 2014 10:25 am Start Post: Брутят админки сайтов - как боретесь? 

Сergio
Гуру
Зарегистрирован: 08.07.2013
Сообщений: 1283
Обратиться по нику
# Добавлено:Вс Dec 14, 2014 12:34 pmОтветить с цитатой
Еще забыли про WP Security Scan. Основная задача - сканирование установленной версии системы и проверка ее на возможные прорехи в безопасности.

Taburetkin
Гуру
Зарегистрирован: 25.02.2007
Сообщений: 1426
Star (Сумма: 1)
Обратиться по нику
# Добавлено:Вт Dec 16, 2014 12:33 amОтветить с цитатой
все эти плагины на логин, перенос логина и прочее просто как мертвому припарка.
Никто в здравом уме не будет форсить вп логин, нахуя?
Легче пробить темы, плагины, установку на дырки и залить шелл - а там преспокойно посмотреть ваш ДБ конфиг файл.
И все - пароль в пхпадмин поменял и вперде!

DrKronos
SEO-доктор
Зарегистрирован: 11.03.2008
Сообщений: 13024
Moder (Сумма: 1)
Обратиться по нику
# Добавлено:Вт Dec 16, 2014 12:59 amОтветить с цитатой
Цитата:
Как боретесь с брутфорсерами?


https://wordpress.org/plugins/really-static/ Smile
Oscar the grouch Здесь могла быть ваша реклама

Skyworker
V.I.P.
Зарегистрирован: 25.12.2013
Сообщений: 10797
Обратиться по нику
# Добавлено:Вт Dec 16, 2014 2:43 amОтветить с цитатой
Taburetkin писал(а):
все эти плагины на логин, перенос логина и прочее просто как мертвому припарка.
Никто в здравом уме не будет форсить вп логин, нахуя?

Вот именно, что брутом занимается только одна школота, настоящие взломщики ищут уязвимости движка, через них и ломают сайты. А такие уязвимости были, есть и будут в движке WP всегда.
Надежный и отзывчивый VPS хостинг для серьезных проектов -|||- Проверенная годами пуш партнерка с ежеденевными выплатами

blogmatic
V.I.P.
Зарегистрирован: 10.08.2010
Сообщений: 4775
Обратиться по нику
# Добавлено:Вт Dec 16, 2014 1:41 pmОтветить с цитатой
Цитата:
А такие уязвимости были, есть и будут в движке WP всегда.


Ничего удивительного, тем более если больше половины бесплатных шаблонов для wordpress зараженными хакерскими веб-шеллами и бэкдорами.

Shkiff +
V.I.P.
Зарегистрирован: 09.03.2009
Сообщений: 3227
Обратиться по нику
# Добавлено:Вт Dec 16, 2014 2:37 pmОтветить с цитатой
да не, просто ща бля по интеренту гуляют мануалы про брут и заработок по пирогам.

Е**л я того человека, который продавал курс по добыче и заработку на шеллах. Shout
Фарма Партнёрка с отличным конвертом!!!

universite
Свой
Зарегистрирован: 07.08.2014
Сообщений: 3
Обратиться по нику
# Добавлено:Ср Dec 17, 2014 7:01 amОтветить с цитатой
Запуск скрипта на парсинг глобальных логов раз в полчаса и при пороге 3-10 захода с одного IP - в бан на сутки.
Белые списки тоже есть.

Tomas-R + +
V.I.P.
Зарегистрирован: 07.01.2008
Сообщений: 5567
Обратиться по нику
# Добавлено:Сб Dec 20, 2014 2:54 pmОтветить с цитатой
я бы закрыл админку через .htpassw
рекламная подпись (в PM)

ceber
V.I.P.
Зарегистрирован: 13.05.2010
Сообщений: 4290
Обратиться по нику
# Добавлено:Вс Dec 21, 2014 12:35 pmОтветить с цитатой
Цитата:
Задолбали уже брутфорсеры, за неделю на одном сайте аж 218 попыток брута, причем, включен плагин, блокирующий IP после двух попыток подбора пароля и все равно продолжают брутить.

Yabuti, крупный сайт? Если он не представляет конкуренции, кому может понадобиться его брутить?

narolskay +
Гуру
Зарегистрирован: 11.06.2009
Сообщений: 1037
Обратиться по нику
# Добавлено:Пн Dec 22, 2014 8:43 amОтветить с цитатой
Ну а если крупный проект, то Skyworker дал хорошую идею про VPN.
Ищете хостинг? Beget.ru
месяц бесплатного тестирования!

mr2me + + +
Опытный
Зарегистрирован: 02.02.2015
Сообщений: 159
Обратиться по нику
# Добавлено:Пн Фев 16, 2015 12:41 pmОтветить с цитатой
а может через iptables по string (по строке) блокировать "пакеты входящие" на linux vps содержащие в пакете название "wp-admin" , это для wordpress.
Цитата:
и залить шелл

даже ели зальют шелл, если iptables будет блочить все и вся на vps, то даже залитый шелл ничего не сможет сделать, будет вхолостую работать.

SAW +
Гуру
Зарегистрирован: 07.03.2008
Сообщений: 1189
Обратиться по нику
# Добавлено:Пн Фев 16, 2015 1:43 pmОтветить с цитатой
у меня например LitePublisher а не WP. Тоже бесплатный и тоже как я понял с дырами... При чем папки админки там нет, адрес админки виртуальный. Спросил у разработчика где админка, тот не5 отвечает а лиш говорит что админка хорошо защищена. Как мне можно защетить админку? У меня толлько сплоги, их больше сотши, так что двойная авторизация не подойдет, так как заполняются они софтом, а софт не поддержует двойную авторизацию.
Комбайн для настоящих WEBмастеров! Лучший реггер фрихостов! Сервера для ЛЮБЫХ нужд + фри админ! Продай ПОДПИСЬ!
Домены по СУПЕРЦЕНЕ!
Новая тема Написать ответ    ГЛАВНАЯ ~ ТЕХНИЧЕСКИЕ ВОПРОСЫ

Перейти:  





Генеральный спонсор



Партнеры