ব্যর্থ লগইন প্রচেষ্টা বৃদ্ধি, নিষ্ঠুর বল আক্রমণ? [বন্ধ]

আমি প্লাগইন সরল লগইন লকডাউন ইনস্টল করেছি এবং দিন দুয়েক আগে থেকে ডাটাবেসটি দিনে 200 রেকর্ড রেকর্ড করছে।

আমি মনে করি এতগুলি আইপি দ্বারা আমার সাইটে আক্রমণ করা সম্ভব নয়

আপনার কি মনে হয় কিছু ভুল আছে?

ওয়ার্ডপ্রেস এবং জুমলা সাইটগুলিতে আক্রমণ করে বর্তমানে একটি বোটনেট সক্রিয় রয়েছে । এবং সম্ভবত আরও। আপনার আরও অবরুদ্ধ লগইনগুলি দেখতে হবে । আপনি যদি না করেন তবে সম্ভবত কিছু ভুল আছে।

তবে সচেতন থাকুন, আইপি অ্যাড্রেসগুলি ব্লক করা 90,000 এরও বেশি আইপি অ্যাড্রেস সহ বট নেট বিরুদ্ধে সহায়তা করে না।
এবং আপনি যদি প্রতি প্লাগইন এটি করেন তবে সীমাবদ্ধ লগইন প্রচেষ্টা এড়িয়ে চলুন । এটি আইপিগুলিকে একটি সিরিয়ালযুক্ত বিকল্পে সঞ্চয় করে যা প্রতিটি অনুরোধের ভিত্তিতে অপ্রচলিত হতে হয়। এটি খুব ব্যয়বহুল এবং ধীর।
একটি পৃথক ডাটাবেস টেবিল ব্যবহার করে এমন একটি প্লাগইন খুঁজুন বা আপনার .htaccess এ আইপি ঠিকানাগুলি ব্লক করুন:

order allow,deny
# top 30 IP addresses listed in 
# http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
deny from 31.184.238.38
deny from 178.151.216.53
deny from 91.224.160.143
deny from 195.128.126.6
deny from 85.114.133.118
deny from 177.125.184.8
deny from 89.233.216.203
deny from 89.233.216.209
deny from 109.230.246.37
deny from 188.175.122.21
deny from 46.119.127.1
deny from 176.57.216.198
deny from 173.38.155.22
deny from 67.229.59.202
deny from 94.242.237.101
deny from 209.73.151.64
deny from 212.175.14.114
deny from 78.154.105.23
deny from 50.116.27.19
deny from 195.128.126.114
deny from 78.153.216.56
deny from 31.202.217.135
deny from 204.93.60.182
deny from 173.38.155.8
deny from 204.93.60.75
deny from 50.117.59.3
deny from 209.73.151.229
deny from 216.172.147.251
deny from 204.93.60.57
deny from 94.199.51.7
deny from 204.93.60.185

allow from all

আরো দেখুন:

• কোডেক্স: ব্রুট ফোর্স আক্রমণ
• ইপস্টেনু (মিকা এপস্টেইন) দ্বারা .htaccess সহ লগইন সুরক্ষা
• তরল ওয়েব দ্বারা কাস্টম ওয়ার্ডপ্রেস ModSecurity বিধি
• সুচুরি ব্লগ দ্বারা ওয়ার্ডপ্রেস ব্রুট-ফোর্স আক্রমণ বিরুদ্ধে রক্ষা , এছাড়াও: ভর ওয়ার্ডপ্রেস ব্রুট ফোর্স আক্রমণ? - আকর্ষণীয় পরিসংখ্যান সংক্রান্ত বিশদ সহ মিথ বা বাস্তবতা
• কীভাবে পাসওয়ার্ড করবেন হোস্টগেটর দ্বারা wp-login.php ফাইলটি সুরক্ষিত করুন

আমাদের ট্যাগ সুরক্ষাও নজর দেওয়ার মতো, বিশেষত:

• আমি একটি ওয়ার্ডপ্রেস হ্যাক পুরোপুরি সরিয়েছি তা যাচাই করা হচ্ছে?
• প্রশাসনিক অ্যাকাউন্টগুলি সুরক্ষিত করা - ব্যবহারকারীর নাম আবিষ্কার
• কীভাবে ব্রুট-ফোরার জানে যে টার্গেট ব্যবহারকারীর জন্য পাসওয়ার্ডটি ফাটল?

আপনি সরানো থাকলে wp-adminবা আপনার wp-login.phpএই ইউআরএলগুলি এখনও যুক্ত করে /loginবা /adminমূল ইউআরএলে অনুমান করা যায়। ওয়ার্ডপ্রেস এই অনুরোধগুলি সঠিক জায়গায় পুনর্নির্দেশ করবে।
এই আচরণটি বন্ধ করতে আপনি খুব সাধারণ প্লাগইন ব্যবহার করতে পারেন:

<?php  # -*- coding: utf-8 -*-
/* Plugin Name: No admin short URLs */

remove_action( 'template_redirect', 'wp_redirect_admin_locations', 1000 );

আমি মনে করি এটি অস্পষ্টতার দ্বারা সুরক্ষা - গুরুতর কিছু নয়।

তার উত্তরে তালিকাভুক্ত সংস্থানসমূহের টাস্কো ছাড়াও, আপনি ডাব্লুপি -অ্যাডমিন এবং পাসওয়ার্ড সুরক্ষিত করতে পিএইচপি-র বেসিক এইচটিটিপি প্রমাণীকরণ এবং ডাব্লুপি-লগইন.এফপি অ্যাক্সেস ব্লক করতে wp-login.php ব্যবহার করতে পারেন।

আমি সবেমাত্র একটি প্লাগইন প্রকাশ করেছি যা আপনার জন্য নো-রেফারার অনুরোধগুলি ব্লক করার সাথে সাথে এটি করে। (নো-রেফারার ব্লক বর্তমানে একটি উপ-ডিরেক্টরিতে ইনস্টল করা সাইটগুলির জন্য কাজ করে না)।

আপনি নিম্নলিখিত ওয়ার্ডপ্রেস দ্বারা আপনার ওয়ার্ডপ্রেস অ্যাডমিন রক্ষা করতে পারেন।

1. আপনার প্রশাসক পাসওয়ার্ডে নম্বর, বিশেষ অক্ষর এবং বর্ণমালা যুক্ত করুন তারপরে শক্তিশালী পাসওয়ার্ড তৈরি করুন
2. আপনি যদি আপনার ডাটাবেসে আরও রেকর্ড পেয়ে থাকেন তবে এটি আপনার ওয়েবসাইটগুলিকে কমিয়ে দেবে। সুতরাং আপনার ডাব্লুপি-অ্যাডমিন পৃষ্ঠায় চিত্র ক্যাপচা যুক্ত করে এড়ানো যায় । কিছু প্লাগইন এটির জন্য উপলব্ধ। Https://wordpress.org/plugins/wp-limit-login-attempts/ এর মতো