Protección contra intento de hackeo por fuerza bruta

Buenos días

Retomando el post Peticiones raras de url que cree porque me estaban haciendo peticiones de url raras desde ayer me encuentro que están intentando entrar a mi admin en mis dos webs por fuerza bruta, tengo instalado el plugin ITHEMES SECURITY por lo que se está bloqueando el acceso a admin cada 15 minutos...

Tras darme cuenta he modificado el .htaccess para que sólo pueda acceder mi IP pero me salta también a mi la restriccion
También he intentado a pelo cambiar el nombre de la carpeta de "wp-admin" pero me da error algunos plugins

Esto es lo que he puesto en mi .htaccess

No entiendo la fijación que hay tras mis 2 webs :S alguien me explica? No puedo entrar a mi panel porque está perma-bloqueado ¿Qué puedo hacer?

Saludos!!!

Hey nehe!
Yo también utilizo el ITHEMES SECURITY en uno de los sitios y llevo 2 dias recibiendo intentos de ataques por fuerza bruta.. Estoy sospechando que pueda tratarse de una vulnerabilidad del propio ITHEMES SECURITY que de información a los atacantes.
¿Porque digo esto?
Tengo una ruta personalizada para acceder a la administración, y justo una semana después de instalar ITHEMES SECURITY han comenzado a tratar de acceder por fuerza bruta descubriendo la ruta.
He cambiado la ruta hace 24 horas y han vuelto a descubrirla hoy y a tratar de acceder!! (Es una ruta compleja como para que la descubran a base de fuerza bruta, tardarian muchisimo y han tardado apenas unas horas!!)

Yo creo que han podido descubrir alguna vulnerabilidad de ITHEMES SECURITY que les indica la ruta personalizada (Ya que la personalicé desde el propio plugin)

Los ataques son con el usuario admin, sin embargo no tengo ningun usuario llamado admin asi que van en la mala dirección.

He bloqueado el acceso al servidor a todas las IP que han tratado de logearse, pero eso no funcionará porque parece una botnet bastante grande... Son rangos de ips muy diversos y de todas partes del mundo, y lo mas asombroso es que el 90% de las IP que he investigado son servidores web (De 1&1, OVH y muchos otros proveedores) por lo que creo que obviamente han debido de hackearles para controlarlos desde la botnet.

Cambia la ruta wp-admin y comenta si también te encuentran la nueva ruta o los ataques han parado!

Por el momento he creado un segundo administrador y esa cuenta la he bajado a "Editor" por si las moscas... También he activado la opción de que en principio debería banear automáticamente la ip desde donde intenten el login fallido...
A mi me están intentando entrar con el nombre correcto de mi admin...
Y siguen insistiendo sin parar al menos 5 veces diarias con urls de esta forma donde las letras tras el "=" y el "&google" son aleatorias por cada vez... lo peor de todo es que vienen de ips distintas pero todas cercanas pero no puedo banear rangos porque dentro de esas ips cercanas esta también el
Saludos!!!

Hay un plugin para cambiar de nombre la carpeta wp-admin.

Nehemoth dijo:

Por el momento he creado un segundo administrador y esa cuenta la he bajado a "Editor" por si las moscas... También he activado la opción de

Insertar CODE, HTML o PHP:

Automatically ban "admin" user / Immediately ban a host that attempts to login using the "admin" username.

que en principio debería banear automáticamente la ip desde donde intenten el login fallido...
A mi me están intentando entrar con el nombre correcto de mi admin...
Y siguen insistiendo sin parar al menos 5 veces diarias con urls de esta forma

Insertar CODE, HTML o PHP:

 /?cbp=1xqlfvy1rp87x&google_publisher_plugin_page_details=1 / 66.249.65.120	/ United States	/ Safari / Chrome

donde las letras tras el "=" y el "&google" son aleatorias por cada vez... lo peor de todo es que vienen de ips distintas pero todas cercanas pero no puedo banear rangos porque dentro de esas ips cercanas esta también el

Insertar CODE, HTML o PHP:

66.249.65.116 / United States / SearchBot / GoogleBot

Saludos!!!

Hacer clic para expandir...

Cambia el nombre del admin y también el ID para mas refuerzo, esto tal vez pueda ayudarte

[YOUTUBE]mcfVeYATzS4[/YOUTUBE]

Para lo de las URL's aleatorias bloquealas desde htaccess esto puede valerte:
http://forobeta.com/tutoriales/192402-bloquear-ddos-htaccess.html

Yo también he puesto que se banee automáticamente a quien trate de logearse con "admin" pero estoy en proceso para fabricar un honeypot y meterlo en wp-admin para estudiarlo mas a fondo.

A ver si paran :encouragement:

Gracias man me viene de escándalo!
Por el momento creo que me voy a apañar con lo que he echo pues estoy liadísimo con los trabajos del FP :ambivalence: en cuanto tenga un segundo pruebo todo lo que me pusiste.
Muchísimas gracias!

Saludos!!!

- - - Actualizado - - -

MastX mira en un ratejo tras instalar el wordfence cuantos son... ¿te coincide a ti alguno?


Saludos!!!