• User

    Sempre sotto attacco ... si può bannare un ip ...

    Tutti i giorni il sito subisce degli attacchi e Wordpress Firewall 2 mi manda una serie di mail.
    Solitamente si tratta di attacchi attraverso i vari plugin ad esempio :
    /wp-content/plugins/wp-property/third-party/uploadify/uploadify.php?path=../../
    oppure
    /wp-content/themes/fresh_trailers_v2/uploadify.php
    Siccome solitamente gli ip veri o falsi che siano si ripetono almeno una decina di volte variando solo plugins o tema chiedevo :
    esiste un modo per fare in modo che in situazioni del genere l'ip venga bannato automaticamente dopo tot tentativi ?


  • Moderatore

    Generalmente il sito ha un pannello di controllo - spesso cpanel - che include una funzione per bannare un IP però senza attendere vari tentativi. C'è qualche plugin che preclude il login ma non so se ne esistano per bannare IP dopo tentativi di accesso ad altri plugin.


  • User

    @NetMassimo said:

    Generalmente il sito ha un pannello di controllo - spesso cpanel - che include una funzione per bannare un IP però senza attendere vari tentativi. C'è qualche plugin che preclude il login ma non so se ne esistano per bannare IP dopo tentativi di accesso ad altri plugin.
    Intanto grazie. Bannare un IP manualmente fra plugin e pannello di controllo ed .htaccess ho solo l'imbarazzo della scelta, speravo in qualcosa di ban automatico di ip sulla sorta del blocco tentativi di login dopo un certo numero ...


  • User

    Ciao,
    il mio consiglio puo' essere solo quello di bannare non a livello di plugin ma di lavorare sul .htaccess.

    Questo per far gestire i ban a livello di web server.

    Tieni presente che,
    difficilmente gli scan arriveranno sempre dagli stessi ip e se qualora così fosse,
    sarebbe per te piu' facile gestire tutto via web server una volta per tutte.

    Ciao


  • Moderatore

    @mailzilla said:

    Intanto grazie. Bannare un IP manualmente fra plugin e pannello di controllo ed .htaccess ho solo l'imbarazzo della scelta, speravo in qualcosa di ban automatico di ip sulla sorta del blocco tentativi di login dopo un certo numero ...

    Tu però avevi parlato di ban degli IP che attaccavano i plugin. Mettere in lista nera gli IP che tentano il login è ben più facile, basta usare Limit Login Attempt: wordpress . org/extend/plugins/limit-login-attempts/ a quel punto se vuoi puoi bannare gli IP a livello di .htaccess ma devi farlo a mano.


  • User

    @NetMassimo said:

    Tu però avevi parlato di ban degli IP che attaccavano i plugin. Mettere in lista nera gli IP che tentano il login è ben più facile, basta usare Limit Login Attempt: wordpress . org/extend/plugins/limit-login-attempts/ a quel punto se vuoi puoi bannare gli IP a livello di .htaccess ma devi farlo a mano.
    Infatti la soluzione che cercavo concettualmente ricalcava quella dei tentativi di login. Il mio discorso derivava da questo : vedo 43 tentativi più o meno simili attraverso plugin o temi come nell'esempio che avevo messo, sempre dallo stesso IP. Se lo banno manualmente il giorno dopo (sono stati tentativi notturni), con tutte le probabilità non servirà a nulla, perchè la prox volta questi se ritenterà, lo farà quasi sicuramente con un altro IP., se invece ragionando come con lo stop ai tentativi di login si potesse fermare un attacco del genere per esempio al 5 tentativo su plugin o tema, non avrebbe altre 38 possibilità. Per lo meno dovrebbe sforzarsi di cambiare IP ogni 5 tentativi e potrebbe rompersi prima.


  • User

    Ciao Mailzilla,
    onestamente non conosco una soluzione tipo quella da te proposta,
    come ti dicevo in precedenza, gli attacchi del tipo indicato da te sono frequenti e tieni presente che anche google ha sviluppato
    del codice per verificare la bontà dell'installazione wordpress via wp-scan (a me per esempio nel webmaster tool su un sito che gestivo
    è uscito come messaggio qualcosa del tipo : "aggiorna la tua versione di wordpress).

    Per come conosco io la problematica ti consiglierei :

    1. tenere aggiornato il webserver
    2. tenere aggiornato wordpress e i suoi componenti
    3. mettere in sicurezza l'installazione wordpress (nella fattispecie settare i permessi corretti per le directory "/" "/wp-admin" "/wp-includes" "/wp-content")

    Detto questo,
    le soluzioni che potrebbero fare al caso tuo potrebbero dover riguardare l'installazione di una qualche forma di firewall + gli script di controllo dei tentativi
    (tipo lettura dei log del web server via script e inserimento nel firewall della regola di blocco) o al limite l'installazione di qualche modulo sul web server
    (ex: mod_security).

    Ciao