Atualmente há um botnet ativo, atacando os sites WordPress e Joomla . E provavelmente mais. Você deve ver mais logins bloqueados. Se você não sabe, provavelmente há algo errado.
Mas lembre-se de que o bloqueio de endereços IP não ajuda em um bot net com mais de 90.000 endereços IP.
E se você fizer isso por plugin, evite Limitar tentativas de login . Ele armazena os IPs em uma opção serializada que precisa ser desserializada em cada solicitação. Isso é muito caro e lento.
Encontre um plugin que use uma tabela de banco de dados separada ou bloqueie os endereços IP em seu .htaccess assim:
order allow,deny
# top 30 IP addresses listed in
# http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
deny from 31.184.238.38
deny from 178.151.216.53
deny from 91.224.160.143
deny from 195.128.126.6
deny from 85.114.133.118
deny from 177.125.184.8
deny from 89.233.216.203
deny from 89.233.216.209
deny from 109.230.246.37
deny from 188.175.122.21
deny from 46.119.127.1
deny from 176.57.216.198
deny from 173.38.155.22
deny from 67.229.59.202
deny from 94.242.237.101
deny from 209.73.151.64
deny from 212.175.14.114
deny from 78.154.105.23
deny from 50.116.27.19
deny from 195.128.126.114
deny from 78.153.216.56
deny from 31.202.217.135
deny from 204.93.60.182
deny from 173.38.155.8
deny from 204.93.60.75
deny from 50.117.59.3
deny from 209.73.151.229
deny from 216.172.147.251
deny from 204.93.60.57
deny from 94.199.51.7
deny from 204.93.60.185
allow from all
Veja também:
- Codex: ataques de força bruta
- Proteção de Login com .htaccess por Ipstenu (Mika Epstein)
- Regras personalizadas do WordPress ModSecurity da Liquid Web
- Protegendo contra ataques de força bruta do WordPress da Sucuri Blog, também : Ataques de força bruta em massa WordPress? - Mito ou Realidade com detalhes estatísticos interessantes
- Como Proteger com Senha o arquivo wp-login.php por HostGator
Nossa tag security também merece uma olhada, especialmente:
- Verificando se eu removi completamente um hack do WordPress ?
- Protegendo contas administrativas - Descoberta de nome de usuário
- Como bruta Forcer sabe que a senha está quebrada para o nome de usuário alvo?
Se você moveu wp-admin
ou seu wp-login.php
, esses URLs ainda podem ser adivinhados adicionando /login
ou /admin
ao URL principal. O WordPress redirecionará essas solicitações para o local correto.
Para parar esse comportamento, você pode usar um plugin muito simples:
<?php # -*- coding: utf-8 -*-
/* Plugin Name: No admin short URLs */
remove_action( 'template_redirect', 'wp_redirect_admin_locations', 1000 );
Eu acho que isso é segurança pela obscuridade - nada sério.