Ataque de fuerza bruta: ¿Cómo detenerlo?

[lydiasamtos]

¡Hola betas!

Estoy sufriendo un ataque de fuerza bruta en una de mis webs y no sé qué hacer.

Los ataques proceden de varios países, pero el más preocupante es Alemania. Lleva toda la noche intentando entrar.

Ayer instalé Wordfence (la versión free). Tengo activadas las opciones por defecto.
Wordfence bloquea al atacante durante 5 minutos por cada 20 intentos fallidos de login. El alemán (o su bot) vuelve a intentarlo cada vez que se levanta el bloqueo.
Os cuento aquí abajo lo que he hecho.

Advierto que soy novata en estos temas.

Esto es lo que he hecho:
En Options > Login Security Options he escrito admin en "Immediately block the IP of users who try to sign in as these usernames".
En Live Traffic> Logins and Logouts he bloqueado permanentemente las Ips de los atacantes.

No tengo ni idea de qué más hacer.

Agradezco ideas, consejos, sugerencias, experiencias, cualquier cosa que me podáis decir.
Si me vais a dar algún consejo técnico, por favor, hacedlo con peras y manzanas porque de esto no tengo ni idea.

Muchas gracias.

 

[admc76]

modifica o crea un fichero .htaccess en tu servidor apache con las siguientes líneas:

order allow,deny
deny from IP_DEL_ATACANTE
allow from all

también lo puedes incluir en el httpd.conf en lugar de en el htaccess

 

[lydiasamtos]

modifica o crea un fichero .htaccess en tu servidor apache con las siguientes líneas:

order allow,deny
deny from IP_DEL_ATACANTE
allow from all

también lo puedes incluir en el httpd.conf en lugar de en el htaccess

Gracias por la ayuda.
Me da la impresión de que la misma gente (o bots) está atacando todas las webs que tengo alojadas en el mismo compartido. Acabo de chequear otra y varios atacantes son los mismos que los de mi web principal.
A lo largo de la mañana iré chequeando el resto, por si está pasando lo mismo.

Una cosa.
¿Es posible que las Ips de los atacantes sean dinámicas?
¿Si ya he bloqueado las ips con Wordfence, ¿vuelvo a bloquearlas con el código que me has dicho en htaccess?
No sé si lo que te pregunto es una tontería.

 

[admc76]

Es posible que las IPs de los atacantes sean dinámicas, sin duda. En los ficheros de log del apache (error_log y access_log) puedes ver quién entra, desde dónde y con qué navegador.

No se que hace exactamente el wordfence, quizá cree el mismo el fichero htaccess. Por si acaso échale un vistazo y si no está creado hazlo tú.

Ninguna pregunta es una tontería 🙂

 

[MastX]

Normalmente estos ataques son realizados de manera masiva por botnets, asi que si, suelen tener Ips dinamicas, ya que realizan el intento desde cientos de equipos distintos.

Te recomiendo usar algún plugin de seguridad como puede ser iThemes Security para poder editar por ejemplo la ruta de acceso al wp-admin.
Alli le modificas otras opciones como por ejemplo:
Banear permanentemente las ips que intenten hacer login con el usuario "admin" (Suponiendo que ya usas otro usuario distinto a ese imagino)
No mostrar mensaje de error al logearse y fallar...
Banear X tiempo al X intento fallido con el usuario correcto...

Suerte:encouragement:

 

[lydiasamtos]

Uf, no tengo ni idea de lo que es el log de apache ni de cómo encontrarlo.
Ya os digo que soy completamente novata en esto. Lo de "apache" me suena a los indios americanos. Con eso lo digo todo...

Hoy, además, estoy hasta arriba de trabajo... En la pausa de la comida me pondré a investigar lo del apache.

Por ahora sigo con Wordfence, a ver si se calma la cosa.

 

[onandia]

yo siempre instalo ithemes security y wordfence.

Con el dsahboard del primero dejo todo como más o menos me indica. Sobre todo asegurandome que no puedan subir ficheros desde fuera del dashboard y cambiando el nombre de la entrada (wp-admin)
Con worfence tienes control de todas las IP que acceden y puedes bloquearlas de manera sencilla.

A ver si con eso mejora el tema. suerte

 

[ramones33]

Hola [MENTION=30257]lydiasamtos[/MENTION]

Te recomiendo realizar una solución en 5 pasos:

1) Cambiar en las opciones de Wordfence el tiempo de bloqueo por intentar utilizar el usuario Admin a almenos un día.
2) En las opciones de Wordfence para ips bloqueadas, debes seleccionar manualmente cuales ips deseas bloquear permanentemente ya que cuando un usuario es "bloquedado" por wordfence por intento de login con el user admin este bloqueo de ip es temporal.
3) 20 intentos fallidos de login me parecen demasiados, trata de bajarlo lo más que puedas.
4) Cambiar la url de acceso del login con ithemessecurity como bien te mencionó [MENTION=23531]MastX[/MENTION]
https://ithemes.com/tutorials/ithemes-security-hide-login-setting-overview/
5) Aunque a muchos no les guste jetpack, el módulo "protect" es tremendamente útil para casos como estos (Ellos compraron bruteprotect)

Saludos

 

[lydiasamtos]

[MENTION=156360]onandia[/MENTION] [MENTION=111024]ramones33[/MENTION]

Muchas gracias.
Tomo nota de lo que me decís para implementarlo en cuanto acabe mi jornada de trabajo de hoy.
Iré contando cómo va la cosa.
Un saludo.

 

[Gustavote]

Instalaste algun theme o plugin Nulled?

 

[monquiel]

Yo utilizo este plugin de WP y desde que lo uso detiene todo: https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/

 

[JoseDieguez]

Si tu IP es fija, en lugar de ir bloqueando decenas de IP's y más a medida que pasa el tiempo. Bloquea todas y permite la tuya solamente :encouragement:

 

[IngGeek]

Si no tienes un theme nulled o plugins nulled no debes de inestalar wordfence o itheme security. Con ello solo haces lento tu sitio y no te están protegiendo de nada relevante. Solo coloca un plugin el que para bloquear atacantes como WP Limit Login Attempts o similar y despreocupate 😛

 

[Mozz]

En la dirección del resto de mis compañeros me gustaría recomendarte un sencillo plugin:

Limit Login Attemps

Es gratuíto, muy sencillo y del repositorio de Wordpress. Limita los intentos de login, simplemente eso.


Edito: No leí al compañero de arriba que justo recomendaba el mismo plugin. Lo lamento.

 

[Programarte]

Si tu IP es fija, en lugar de ir bloqueando decenas de IP's y más a medida que pasa el tiempo. Bloquea todas y permite la tuya solamente :encouragement:

Creo que tal vez no entendí el punto pero ¿esto no haría que ya nadie pudiera entrar al sitio?

 

[JoseDieguez]

Creo que tal vez no entendí el punto pero ¿esto no haría que ya nadie pudiera entrar al sitio?

Hola,

Como el ataque es al login (wp-login.php), basta con aplicar esta regla a ese archivo exclusivamente.

En todos mis sitios wordpress que uso activamente, y los sitios de familaires y amigos, utilizo esta medida. Así solo yo (y el dueño) podemos ver el wp-login.php y todos los demás un error 403.

Edito: Si tu IP cambia, basta con entrar al FTP/Cpanel (Administrador de archivos) y actualizar el .htaccess .

 

[Programarte]

Hola,

Como el ataque es al login (wp-login.php), basta con aplicar esta regla a ese archivo exclusivamente.

En todos mis sitios wordpress que uso activamente, y los sitios de familaires y amigos, utilizo esta medida. Así solo yo (y el dueño) podemos ver el wp-login.php y todos los demás un error 403.

Edito: Si tu IP cambia, basta con entrar al FTP/Cpanel (Administrador de archivos) y actualizar el .htaccess .

Ah vaya es que no comentaste que sería sólo al archivo en cuestión, siendo como mencionas entonces parece bastante buena la medida.

 

[lydiasamtos]

Por ahora los ataques parece que están controlados en dos webs, aunque tengo que revisar algunas páginas más y sé que me voy a llevar una sorpresa desagradable. Lo iré haciendo a lo largo del día.

Los themes que uso no son nulled. Son themes premium que he comprado y están actualizados. Los plugins tampoco son nulled.

Por ahora estoy con Wordfence, pero en un blog de pruebas online quiero probar, además, con iThemesSecurity para cambiar la ruta del login y comprobar que no interfiera con Wordfence.
Desactivaré en iThemesSecurity las opciones que tenga en común con Wordfence y a ver qué pasa. Si funciona bien, lo instalaré en otras páginas.

También quiero probar el All In One WP Security, que tiene muy buena pinta y, si me hago con el manejo, quito Wordfence y dejo éste.

Mi IP es dinámica y no controlo para nada el tema de cómo bloquear todas las IPs excepto la mía, pero investigaré porque parece buena idea.

Iré actualizando con novedades.

Muchas gracias por la ayuda.