Blokada dostepu do wp-login.php

Wordpress
URL:
Technologia:

Skrypt WordPress oprocz zastosowan blogowych czesto wykorzystywany jest jako platforma CMS do stron www. Z racji swojej popularnosci narazony jest na ataki.

Jednym z nich jest atak za pomoca metody brute force na plik wp-login.php ktory odpowiada za funkcjonalnosc logowania sie. Nie musze chyba pisac jakie moga byc konsekwencje zlamania loginu i hasla do Twojego serwisu.

Dodatkowym problemem moze byc zwiekszenie obciazenia serwerow.

Coraz czesciej firmy hostingowe stosuja ograniczenia uzycia zasobow serwera. Jeden z  naszych klientow zwrocil sie z problemem analizy wysokiego zuzycia zasobow serwerowych. Analiza wykazala wykonywanie atakow z dziesiatek adresow IP na skrypt logowania sie (wp-login.php).

Ilosc atakow zawsze wynosila ponad 1000 dziennie.

Aby ograniczyc mozliwosc atakow polecam zastosowanie ponizszego wpisu blokujacego dostep do tego pliku dla wszystkich IP oprocz wskazanego. Wpis nalezy dodac do pliku .htaccess


<Files wp-login.php>
Order Deny,Allow
Deny from all
# ip z ktorego mozna uzyskac dostep do pliku logowania
Allow from ##.###.##.###
</Files>