Alle som har en WordPress site på Internett bør følge med på hvilke innbruddsforsøk de mottar. WordPress har noen åpninger som bør tettes igjen. IT Seniorene har gjort en jobb på dette området og utviklet en plugin som på en enkel og effektiv måte begrenser sårbarheten. Ved mislykket forsøk på login, forteller WordPress om du har oppgitt feil brukernavn, hvis det er årsaken. Er derimot brukernavnet korrekt, men passordet feil så får du vite at det er passordet som er feil. Vi har endret det, slik at brukeren får vite at det er brukernavn eller passordet som er feil.
2019-08-20 00:41:52 Login GET: ip=148.72.40.185/United States 2019-08-20 00:41:53 Login ERR: ip=148.72.40.185/United States, log=itsenior, pwd=12345, captcha={missing}, reason=missing g-recaptcha-response, resp=404 page not found 2019-08-20 00:42:24 XML-RPC: ip=148.72.40.185/United States, method="system.multicall", resp=API Disabled 2019-08-21 00:19:44 User ENUM: ip=109.168.26.51/Italy, qs="author=1", resp=404 Page not found 2019-08-21 00:19:44 Rest API: ip=109.168.26.51/Italy, url="https://itseniorene.no/wp-json/wp/v2/users", resp=Not logged in
Over vises noen av de forsøkene vi mottar på vår site. Siden vår site har eksistert lenge, har noen der ute klart å få tak i brukernavn som vi har. Den siste linjen fra loggen over viser en måte å få tak i brukernavnene. Vår plugin svarer at man ikke kan bruke REST Api uten å være pålogget.
De to første linjene i loggen over er eksempel på et forsøk på å logge inn med kjent bruker og gjette passord. Vår plugin gir mulighet for å bruke Google reCAPTCHAv2. Når reCAPTCHA er skrudd på og det kommer login forsøk uten g-recaptcha response svarer siten med 404 page not found.
Bruk av reCAPTCHAv2 er selvfølgelig en frivillig sak. Vi har også lagt inn mulighet for å utestenge en ip-adresse dersom det har blitt gjort for mange mislykkede forsøk på å logge inn i løpet av en angitt tidsperiode. For eksempel: 3 mislykkede forsøk i løpet av 5 minutter sperrer for nye forsøk i 60 minutter.
Under kan du se hvilke innstillinger som its wp security plugin tilbyr:
Erfaring viser at noen dager etter its wp security ble aktivisert blir det slutt på den uønskede trafikken. Sporadiske forsøk opptrer fortsatt, men slutter etter en relativt kort periode.