Devrais-je rediriger les pages de connexion / d'administration vers la page d'accueil?
Je suis sur un coup de pied de sécurité en ce moment et mon projet actuel est un serveur avec un site Wordpress (qui était auparavant un site Joomla). Je reçois parfois 50 demandes par jour
/wp-login.php (la page de connexion par défaut Wordpress
ou
/ administrateur (la page de connexion par défaut de Joomla)
Je brouille ma page de connexion alors ils 404 mais ils continuent à donner 200 OK au lieu de 404 Introuvable.
Je n'aime pas que des gens essaient de pirater mon site Web.
Je pense à 301 réorienter ces demandes vers la page d'accueil dans l'espoir de confondre les robots de force brute. Y aurait-il des inconvénients à une telle approche?
Je pense aussi à envoyer d'autres requêtes de hack, comme des pages d'auteur, des pages de recherche et des plugins inexistants.
La réponse courte à votre question est non, vous n’y rencontrerez aucun problème, mais je conserverai les fichiers fake _/administrator_ et _/wp-login.php_. Cela gardera les bots et les étrangers occupés pour rien.
D'autre part, je prendrais en considération:
- Mot de passe protège le vrai serveur
- Limiter les tentatives de connexion
- Autoriser l'accès aux fichiers de connexion par IP
- Changer le préfixe de la base de données par défaut
- Désactiver la navigation dans les répertoires
Force brute
50 demandes par jour ne sont pas une force brute. C’est-à-dire que si votre mot de passe n’exige que deux caractères. Le plus souvent, ces résultats ne sont que des scanners Internet recherchant des identifiants spécifiques, puis passant au suivant.
Connexion Brute Force
Envisagez d'ajouter un Captcha ou, mieux encore, une forme d'authentification à deux facteurs. Deux options de facteurs sont disponibles, telles que Google Authenticator, Duo Security, etc. Choisissez celle qui convient le mieux à votre environnement et vous serez prête.
404 vs 301
S'en tenir aux normes RFC. Si la page n'existe pas, renvoyez un 404 et si le propriétaire de l'application souhaite rediriger certaines demandes vers une page spécifique, utilisez un 301. Un adversaire déterminé ne sera pas dupé par vos techniques d’obscurcissement, alors que les scanners et les robots Internet ne constituent pas une menace, à moins que vous ne soyez déjà compromis. Cela m'amène au point suivant ...
Sécuriser WordPress
WordPress a une grande surface d’attaque comme en témoigne la longueur du OWASP WordPress Guide d'implémentation de la sécurité . Votre temps sera mieux passé à travailler sur ce document.
Utilisez trois éléments pour protéger votre site contre le spam.
Ajoutez Captcha, décochez l’option Quiconque peut s’inscrire dans les paramètres du site Wp. (Si votre site n'a aucune fonctionnalité de compte d'utilisateur) Utilisez ce plugin pour masquer votre page de connexion - https://wordpress.org/plugins/wps-hide-login/
ainsi que si le nom d'utilisateur de votre site est admin, changez-le en un autre, car admin est un terme très courant et touché par les frais et les esprits des spams ...
J'ai écrit un article il y a quelques années et mérite une lecture, en particulier la section intitulée "Création d'un mot de passe complexe et puissant"
10 façons d'arrêter les attaques Brute Force dans WordPress
De nombreux plugins WP vont arrêter les pirates informatiques par force, mais comme la plupart des plugins fonctionnent pour interdire les adresses IP après X tentatives, ils ne peuvent pas arrêter les piratages de mots de passe déterminés en utilisant plusieurs blocs IP par milliers.
La plupart des plugins lèvent les interdictions après X minutes, ce qui signifie qu'avec suffisamment d'adresses IP, vous êtes quasiment immunisé contre ces interdictions, à moins que vous n'utilisiez une durée extrêmement longue pour ces interdictions. Les administrateurs n'utilisent généralement pas les interdictions de longue durée, car ils ne veulent pas être eux-mêmes en lock-out.
Beaucoup de réponses actuelles sont compliquées
Normalement, je suggérerais fail2ban ou cacher wp-login.php mais 50 attaques ne sont rien! avec un mot de passe décent, il leur faudrait plusieurs décennies. Personnellement, je voudrais garder les choses simples et simplement installer ... Loginizer pour WordPress.
Il est utilisé par des millions de sites et, en l’installant, il interdira automatiquement les mauvais utilisateurs par adresse IP pendant quelques heures, un jour, des semaines, des mois ou même des années. En outre, il vous indiquera le nombre d'attaques qu'il a bloquées.