VPS Gen 4 e server dedicati
VPS Gen 3 e server dedicati

GoDaddy Aiuto

Abbiamo cercato di tradurti questa pagina. È disponibile anche la versione in inglese.

Attacchi WordPress comuni

Esistono due file comunemente usati per gli attacchi di forza bruta di WordPress: xmlrpc.php e wp-login.php. Questo articolo spiegherà in dettaglio come trovare le prove di un attacco.

Attacchi a xmlrpc.php

Che cos'è XML-RPC?

XML-RPC (xmlrpc.php) consente aggiornamenti remoti a WordPress da altre applicazioni. Questo non è più necessario con le versioni correnti di WordPress e lasciarlo abilitato lascia il tuo sito vulnerabile. È comune trovare attacchi di forza bruta usando questo file.

Come posso sapere se sono stato attaccato?

Se trovi più tentativi di accesso dallo stesso IP in un breve lasso di tempo, potrebbe indicare un attacco.

Nell'esempio seguente, IP 12.34.56.789 ha tentato di accedere alla pagina xmlrpc.php più volte contemporaneamente ( 10/Sep/2022: 05: 12: 02 ):

acoolexample.com -ssl_log: 12.34.56.789 - -[10/Sep/2022: 05: 12: 02 -0700] "POST //xmlrpc.php HTTP/1.1" 200 438 " -" "Mozilla/5.0 (Windows NT 10.0 ; Win64; x64) AppleWebKit/537.36 (KHTML, come Gecko) Chrome/80.0.3987.149 Safari/537.36 "acoolexample.com -ssl_log: 12.34.56.789 - - [10/Sep/2022: 05: 12: 02 -0700]" POST //xmlrpc.php HTTP/1.1 "200 438"-"" Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, come Gecko) Chrome/80.0.3987.149 Safari/537.36 "acoolexample.com- ssl_log: 12.34.56.789 - - [10/Sep/2022: 05: 12: 02 -0700] "POST //xmlrpc.php HTTP/1.1" 200 438 " -" "Mozilla/5.0 (Windows NT 10.0; Win64; x64 ) AppleWebKit/537.36 (KHTML, come Gecko) Chrome/80.0.3987.149 Safari/537.36 "acoolexample.com -ssl_log: 12.34.56.789 - - [10/Sep/2022: 05: 12: 02 -0700]" POST // xmlrpc .php HTTP/1.1 "200 438"-"" Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, come Gecko) Chrome/80.0.3987.149 Safari/537.36 "

Attacchi a wp-login.php (wp-admin).

Gli autori degli attacchi spesso utilizzano bot che tentano di eseguire decine se non centinaia di connessioni contemporaneamente per ottenere l'accesso al pannello di amministrazione del wp.

Come posso sapere se sono stato attaccato?

Se trovi più tentativi di accesso dallo stesso IP in un breve lasso di tempo, potrebbe indicare un attacco. Gli utenti autorizzati che hanno problemi a ricordare la propria password mostrano in genere alcuni minuti tra un tentativo e l'altro.

Nell'esempio seguente, IP 12.34.56.789 ha tentato di accedere alla pagina wp-login.php più volte contemporaneamente ( 10/Sep/2022: 08: 39: 15 ):

acoolexample.com -ssl_log: 12.34.56.789 - -[10/Sep/2022: 08: 39: 15 -0700] "POST /wp-login.php HTTP/1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, come Gecko) Chrome/103.0.0.0 Safari/537.36 "acoolexample.com -ssl_log: 12.34.56.789 - - [10/Sep/2022: 08:39:15 -0700] "POST /wp-login.php HTTP /1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, come Gecko) Chrome/103.0.0.0 Safari/537.36 "acoolexample.com -ssl_log: 12.34.56.789 - - [10/Sep/2022: 08:39:15 -0700] "POST /wp-login.php HTTP /1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, come Gecko) Chrome/103.0.0.0 Safari/537.36 "

Passaggi successivi

  • Verifica la proprietà dell'IP utilizzando una ricerca whois. Se l'IP proviene dalla Cina e non hai clienti/visitatori dalla Cina, potrebbe essere dannoso. Se l'IP appartiene (ad esempio) a Cloudflare, è improbabile che sia dannoso.
  • Blocca l'attacco.