Applies to: VPS-hosting, Gen 3 VPS og dedikerte servere

GoDaddy Hjelp

Vi prøvde så godt vi kunne å oversette denne siden for deg. Den engelske siden er også tilgjengelig.

Vanlige WordPress -angrep

Det er to filer som ofte brukes for brute force-angrep fra WordPress: xmlrpc.php og wp-login.php. Denne artikkelen vil detaljere hvordan du finner bevis for et angrep.

Angrep på xmlrpc.php

Hva er XML-RPC?

XML-RPC (xmlrpc.php) tillater eksterne oppdateringer av WordPress fra andre applikasjoner. Dette er ikke lenger nødvendig med nåværende versjoner av WordPress, og hvis du lar det være aktivert, vil nettstedet ditt bli tilgjengelig. Det er vanlig å finne brute force -angrep med denne filen.

Hvordan kan jeg vite om jeg blir angrepet?

Hvis du finner flere tilgangsforsøk fra samme IP på kort tid, kan det indikere et angrep.

I eksempelet nedenfor har IP 12.34.56.789 forsøkt å få tilgang til xmlrpc.php -siden flere ganger samtidig ( 10/Sep/2022: 05: 12: 02 ):

acoolexample.com -ssl_log: 12.34.56.789 - -[10/Sep/2022: 05: 12: 02 -0700] "POST //xmlrpc.php HTTP/1.1" 200 438 " -" "Mozilla/5.0 (Windows NT 10.0 ; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36 "acoolexample.com -ssl_log: 12.34.56.789 - - [10/Sep/2022: 05: 12: 02 -0700]" POST //xmlrpc.php HTTP/1.1 "200 438"-"" Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36 "acoolexample.com- ssl_log: 12.34.56.789 - - [10/Sep/2022: 05: 12: 02 -0700] "POST //xmlrpc.php HTTP/1.1" 200 438 " -" "Mozilla/5.0 (Windows NT 10.0; Win64; x64 ) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36 "acoolexample.com -ssl_log: 12.34.56.789 - - [10/Sep/2022: 05: 12: 02 -0700]" POST // xmlrpc .php HTTP/1.1 "200 438"-"" Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36 "

Angrep på wp-login.php (wp-admin).

Angripere vil ofte bruke roboter som vil prøve dusinvis om ikke hundrevis av tilkoblinger samtidig for å få tilgang til wp-admin-panelet ditt.

Hvordan kan jeg vite om jeg blir angrepet?

Hvis du finner flere tilgangsforsøk fra samme IP på kort tid, kan det indikere et angrep. Autoriserte brukere som har problemer med å huske passordet, vil vanligvis vises noen få minutter mellom forsøkene.

I eksempelet nedenfor har IP 12.34.56.789 prøvd å få tilgang til wp-login.php-siden flere ganger samtidig ( 10/Sep/2022: 08: 39: 15 ):

acoolexample.com -ssl_log: 12.34.56.789 - -[10/Sep/2022: 08: 39: 15 -0700] "POST /wp-login.php HTTP/1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36 "acoolexample.com -ssl_log: 12.34.56.789 - - [10/Sep/2022: 08:39:15 -0700] "POST /wp-login.php HTTP /1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36 "acoolexample.com -ssl_log: 12.34.56.789 - - [10/Sep/2022: 08:39:15 -0700] "POST /wp-login.php HTTP /1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, som Gecko) Chrome/103.0.0.0 Safari/537.36 "

Neste trinn

  • Sjekk eierskapet til IP -en ved hjelp av et whois -søk. Hvis IP -en er fra Kina og du ikke har kunder/besøkende fra Kina, kan det være skadelig. Hvis IP -en tilhører (for eksempel) Cloudflare, er det lite sannsynlig at det er skadelig.
  • Blokkere angrepet.