GoDaddy Довідка

Ми спробували якнайкраще перекласти цю статтю. Також доступна версія англійською мовою.

Типові атаки WordPress

Існує два файли, які зазвичай використовуються для атак "брутфорзу" WordPress: xmlrpc.php та wp-login.php. У цій статті описано, як знайти докази нападу.

Атакує на xmlrpc.php

Що таке XML-RPC?

XML-RPC (xmlrpc.php) дозволяє віддалено оновлювати WordPress з інших програм. У поточних версіях WordPress це більше не потрібно, і якщо цей параметр увімкнено, ваш сайт стає недоступним. За допомогою цього файлу зазвичай можна знайти атаки грубої сили.

Як визначити, чи на мене нападають?

Якщо ви виявите кілька спроб доступу з однієї IP-адреси за короткий проміжок часу, це може свідчити про атаку.

У наведеному нижче прикладі IP 12.34.56.789 намагався отримати доступ до сторінки xmlrpc.php кілька разів одразу ( 10 / Sep / 2022: 05: 12: 02 ):

acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 05: 12: 02 -0700] "POST //xmlrpc.php HTTP / 1.1" 200 438 "-" "Mozilla / 5.0 (Windows NT 10.0 ; Win64; x64) AppleWebKit / 537.36 (KHTML, як-от Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 05: 12: 02 -0700]" POST //xmlrpc.php HTTP / 1.1 "200 438" - "" Mozilla / 5.0 (Windows NT 10.0; Win64; x64) AppleWebKit / 537.36 (KHTML, наприклад, Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com- ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 05: 12: 02 -0700] "POST //xmlrpc.php HTTP / 1.1" 200 438 "-" "Mozilla / 5.0 (Windows NT 10.0; Win64; x64 ) AppleWebKit / 537.36 (KHTML, як-от Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 05: 12: 02 -0700]" POST // xmlrpc .php HTTP / 1.1 "200 438" - "" Mozilla / 5.0 (Windows NT 10.0; Win64; x64) AppleWebKit / 537.36 (KHTML, наприклад, Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "

Атакує на wp-login.php (wp-admin).

Зловмисники часто використовують ботів, які намагаються одразу використати десятки, а то й сотні підключень, щоб отримати доступ до панелі wp-admin.

Як визначити, чи на мене нападають?

Якщо ви виявите кілька спроб доступу з однієї IP-адреси за короткий проміжок часу, це може свідчити про атаку. Авторизовані користувачі, які мають проблеми з запам’ятовуванням свого пароля, між спробами зазвичай тривають кілька хвилин.

У наведеному нижче прикладі IP 12.34.56.789 намагався отримати доступ до сторінки wp-login.php кілька разів одразу ( 10 / вересня / 2022: 08: 39: 15 ):

acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 08: 39: 15 -0700] "POST /wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0 (Windows NT 6.3; Win64; x64) AppleWebKit / 537.36 (KHTML, як-от Gecko) Chrome / 103.0.0.0 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 08:39:15 -0700] "POST /wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0 (Windows NT 6.3; Win64; x64) AppleWebKit / 537.36 (KHTML, як-от Gecko) Chrome / 103.0.0.0 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 08:39:15 -0700] "POST /wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0 (Windows NT 6.3; Win64; x64) AppleWebKit / 537.36 (KHTML, наприклад Gecko) Chrome / 103.0.0.0 Safari / 537.36 "

Наступні кроки

  • Перевірте право власності на ІР за допомогою пошуку Whois. Якщо IP-адреса з Китаю, і у вас немає клієнтів / відвідувачів з Китаю, це може бути зловмисним. Якщо IP-адреса належить (наприклад, Cloudflare), вона навряд чи буде зловмисною.
  • Блокуйте атаку.