Pregunta sobre Wordfence Security de Wordpress:

Intentos de inicio de sesión a través de wp-login y xmlrpc.php

Un usuario preguntó 👇

Hola,

muy similar a este ticket: https://wordpress.org/support/topic/75-attempts-to-login-as-admin/

Recibo un montón de correos electrónicos para personas que quieren iniciar sesión con el nombre de usuario ‘[login]’tanto de xmlrpc.php, wp-login.php y https://domain.com/wp-login.php (No creo que haya una diferencia, pero se enumeran de manera diferente en la sección Wordfence> Herramientas> Tráfico en vivo).

Me doy cuenta de que todos son reconocidos como humanos y están bloqueados (punto rojo y respuesta 503) si hacen algún cambio en wp-login.php, pero si van a xmlrpc.php veo la respuesta 200 y su punto amarillo . Cientos de IP parecen faltar de esta manera y cuando agrupo desde IP veo que la mayoría de ellos lo intentaron 10 veces y la mayoría fueron 45 hits. ¿Hay alguna forma de que el sistema apague automáticamente la IP si no pueden iniciar sesión con un nombre de usuario no válido a través de xmlrpc.php también o debería buscar una forma de eliminar xmlrpc.php? ¿Quizás agregando este filtro?
add_filter( 'xmlrpc_enabled', '__return_false' );
No creo que xmlrpc use ninguno de mis sistemas, pero dudo en desactivarlo. ¿Podría esto estar causando problemas con las personas el acceso al correo electrónico se da a través de GiveWP?

(@wfgerald)

Hace 7 meses, 1 semana

Hola @rsmithgs,

¿Puede compartir capturas de pantalla de su configuración de Fuerza bruta y detalles adicionales de estos esfuerzos en Wordfence> Tráfico en vivo?

Gracias,

Gerroald

(@rsmithgs)

Hace 7 meses, 1 semana

Hola Gerroald, aquí hay algunos enlaces a mi configuración de fuerza bruta:
https://drive.google.com/file/d/1cFt47C2R7yRfwglyc-K-VERoqWtotYVR/view?usp=sharing

Aquí hay algunas capturas de pantalla de Wordfence> Live Traffic que muestran los esfuerzos regulares de acceso a xmlrpc.php, así como [‘login’] reenvío a xmlrpc.php e intentos en wp-login:
https://drive.google.com/file/d/10BLiU9dSQrTYghubxt4HobOTBBRItkWj/view?usp=sharing
https://drive.google.com/file/d/10yEhd8YFSis1Sc2kpdQuKzPE57MzbzV8/view?usp=sharing

¡Avísame si necesitas más!

(@wfsupport)

hace 7 meses

Perdón por la respuesta tardía aquí. En la página Wordfence> Seguridad de inicio de sesión> Configuración hay una opción para bloquear XMLRPC por completo, o simplemente requerir 2FA para cualquier inicio de sesión que use XMLRPC. Es posible que ya haya habilitado estas opciones. Si es así, entonces está protegido de este ataque.

También podría considerar ajustar su alerta. Es importante tener alertas para saber cuando algo anda mal. El caso es que demasiadas alertas a veces significan que se pierden las más importantes. Un mensaje de que Wordfence ha bloqueado la IP solo para hacerle saber que Wordfence está haciendo su trabajo. No es procesable. Por lo general, desactivo estas alertas para los sitios que administro: Alerta de dirección IP bloqueada Cuando alguien está bloqueado desde Alerta de inicio de sesión cuando se usa el formulario válido de «contraseña perdida» para un usuario válido Esto reduce el ruido y me permite saber si recibo un correo electrónico hay muchas posibilidades de que tenga que hacer algo.

Espero que esto ayude.

Tim

¿Solucionó tu problema??

0 / 0

Deja una respuesta 0

Tu dirección de correo electrónico no será publicada.