Aumento de tentativas de login com falha, ataques de força bruta? [fechadas]

Atualmente há um botnet ativo, atacando os sites WordPress e Joomla . E provavelmente mais. Você deve ver mais logins bloqueados. Se você não sabe, provavelmente há algo errado.

Mas lembre-se de que o bloqueio de endereços IP não ajuda em um bot net com mais de 90.000 endereços IP.
E se você fizer isso por plugin, evite Limitar tentativas de login . Ele armazena os IPs em uma opção serializada que precisa ser desserializada em cada solicitação. Isso é muito caro e lento.
Encontre um plugin que use uma tabela de banco de dados separada ou bloqueie os endereços IP em seu .htaccess assim:

order allow,deny
# top 30 IP addresses listed in 
# http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
deny from 31.184.238.38
deny from 178.151.216.53
deny from 91.224.160.143
deny from 195.128.126.6
deny from 85.114.133.118
deny from 177.125.184.8
deny from 89.233.216.203
deny from 89.233.216.209
deny from 109.230.246.37
deny from 188.175.122.21
deny from 46.119.127.1
deny from 176.57.216.198
deny from 173.38.155.22
deny from 67.229.59.202
deny from 94.242.237.101
deny from 209.73.151.64
deny from 212.175.14.114
deny from 78.154.105.23
deny from 50.116.27.19
deny from 195.128.126.114
deny from 78.153.216.56
deny from 31.202.217.135
deny from 204.93.60.182
deny from 173.38.155.8
deny from 204.93.60.75
deny from 50.117.59.3
deny from 209.73.151.229
deny from 216.172.147.251
deny from 204.93.60.57
deny from 94.199.51.7
deny from 204.93.60.185

allow from all

Veja também:

• Codex: ataques de força bruta
• Proteção de Login com .htaccess por Ipstenu (Mika Epstein)
• Regras personalizadas do WordPress ModSecurity da Liquid Web
• Protegendo contra ataques de força bruta do WordPress da Sucuri Blog, também : Ataques de força bruta em massa WordPress? - Mito ou Realidade com detalhes estatísticos interessantes
• Como Proteger com Senha o arquivo wp-login.php por HostGator

Nossa tag security também merece uma olhada, especialmente:

• Verificando se eu removi completamente um hack do WordPress ?
• Protegendo contas administrativas - Descoberta de nome de usuário
• Como bruta Forcer sabe que a senha está quebrada para o nome de usuário alvo?

Se você moveu wp-admin ou seu wp-login.php , esses URLs ainda podem ser adivinhados adicionando /login ou /admin ao URL principal. O WordPress redirecionará essas solicitações para o local correto.
Para parar esse comportamento, você pode usar um plugin muito simples:

<?php  # -*- coding: utf-8 -*-
/* Plugin Name: No admin short URLs */

remove_action( 'template_redirect', 'wp_redirect_admin_locations', 1000 );

Eu acho que isso é segurança pela obscuridade - nada sério.

Além dos recursos toscho listados em sua resposta, você também pode usar Autenticação HTTP Básica do PHP para proteger com senha o wp-admin e / ou o wp-login.php para bloquear o acesso ao wp-login.php .

Eu apenas lancei um plug-in que faz isso para você, além de bloquear solicitações de não-referenciador. (O bloco No-Refrorer atualmente não funciona para sites instalados em um subdiretório).

Você pode proteger seu administrador do WordPress seguindo os métodos.

1. Adicione números, caracteres especiais e alfabetos à sua senha de administrador e, em seguida, faça senha strong
2. Se você tiver mais registros em seu banco de dados, isso reduzirá a velocidade de seus sites. Por isso, pode ser evitado adicionando captcha de imagem na sua página wp-admin. Alguns plugins estão disponíveis para isso. Como enlace