J'ai installé le plugin Simple Login Lockdown et depuis quelques jours, la base de données enregistre plus de 200 enregistrements par jour.
Je pense que ce n'est pas possible d'avoir mon site attaqué par autant d'IP
Pensez-vous qu'il y a quelque chose qui ne va pas?
Réponses:
Il existe actuellement un botnet actif, attaquant les sites WordPress et Joomla . Et probablement plus. Vous devriez voir plus de connexions bloquées. Si vous ne le faites pas, il y a probablement quelque chose qui ne va pas.
Mais sachez que le blocage des adresses IP n'aide pas contre un bot net avec plus de 90 000 adresses IP.
Et si vous le faites par plugin, évitez de limiter les tentatives de connexion . Il stocke les IP dans une option sérialisée qui doit être non sérialisée à chaque demande. C'est très cher et lent.
Trouvez un plugin qui utilise une table de base de données distincte ou bloquez les adresses IP dans votre .htaccess comme ceci:
Voir également:
Notre sécurité des balises vaut également le détour, en particulier:
Si vous avez déménagé
wp-admin
ou quewp-login.php
ces URL peuvent encore être devinées en ajoutant/login
ou/admin
à l'URL principale. WordPress redirigera ces demandes vers le bon emplacement.Pour arrêter ce comportement, vous pouvez utiliser un plugin très simple:
Je pense que c'est la sécurité par l'obscurité - rien de grave.
la source
siteurl/login
Redirige généralement vers la page de connexion correcte.En plus des ressources toscho énumérées dans sa réponse, vous pouvez également utiliser l'authentification HTTP de base de PHP pour protéger par mot de passe wp-admin et ou wp-login.php pour bloquer l'accès à wp-login.php.
Je viens de publier un plugin qui fait cela pour vous avec le blocage des demandes No-Referrer. (Le bloc No-Refrrer ne fonctionne pas actuellement pour les sites installés dans un sous-répertoire).
la source
Vous pouvez protéger votre administrateur WordPress en suivant les méthodes suivantes.
la source