Pregunta sobre Wordfence Security de Wordpress:

Intentos de inicio de sesi贸n a trav茅s de wp-login y xmlrpc.php

Un usuario pregunt贸 馃憞

Hola,

muy similar a este ticket: https://wordpress.org/support/topic/75-attempts-to-login-as-admin/

Recibo un mont贸n de correos electr贸nicos para personas que quieren iniciar sesi贸n con el nombre de usuario ‘[login]’tanto de xmlrpc.php, wp-login.php y https://domain.com/wp-login.php (No creo que haya una diferencia, pero se enumeran de manera diferente en la secci贸n Wordfence> Herramientas> Tr谩fico en vivo).

Me doy cuenta de que todos son reconocidos como humanos y est谩n bloqueados (punto rojo y respuesta 503) si hacen alg煤n cambio en wp-login.php, pero si van a xmlrpc.php veo la respuesta 200 y su punto amarillo . Cientos de IP parecen faltar de esta manera y cuando agrupo desde IP veo que la mayor铆a de ellos lo intentaron 10 veces y la mayor铆a fueron 45 hits. 驴Hay alguna forma de que el sistema apague autom谩ticamente la IP si no pueden iniciar sesi贸n con un nombre de usuario no v谩lido a trav茅s de xmlrpc.php tambi茅n o deber铆a buscar una forma de eliminar xmlrpc.php? 驴Quiz谩s agregando este filtro?
add_filter( 'xmlrpc_enabled', '__return_false' );
No creo que xmlrpc use ninguno de mis sistemas, pero dudo en desactivarlo. 驴Podr铆a esto estar causando problemas con las personas el acceso al correo electr贸nico se da a trav茅s de GiveWP?

(@wfgerald)

Hace 7 meses, 1 semana

Hola @rsmithgs,

驴Puede compartir capturas de pantalla de su configuraci贸n de Fuerza bruta y detalles adicionales de estos esfuerzos en Wordfence> Tr谩fico en vivo?

Gracias,

Gerroald

(@rsmithgs)

Hace 7 meses, 1 semana

Hola Gerroald, aqu铆 hay algunos enlaces a mi configuraci贸n de fuerza bruta:
https://drive.google.com/file/d/1cFt47C2R7yRfwglyc-K-VERoqWtotYVR/view?usp=sharing

Aqu铆 hay algunas capturas de pantalla de Wordfence> Live Traffic que muestran los esfuerzos regulares de acceso a xmlrpc.php, as铆 como [鈥榣ogin鈥橾 reenv铆o a xmlrpc.php e intentos en wp-login:
https://drive.google.com/file/d/10BLiU9dSQrTYghubxt4HobOTBBRItkWj/view?usp=sharing
https://drive.google.com/file/d/10yEhd8YFSis1Sc2kpdQuKzPE57MzbzV8/view?usp=sharing

隆Av铆same si necesitas m谩s!

(@wfsupport)

hace 7 meses

Perd贸n por la respuesta tard铆a aqu铆. En la p谩gina Wordfence> Seguridad de inicio de sesi贸n> Configuraci贸n hay una opci贸n para bloquear XMLRPC por completo, o simplemente requerir 2FA para cualquier inicio de sesi贸n que use XMLRPC. Es posible que ya haya habilitado estas opciones. Si es as铆, entonces est谩 protegido de este ataque.

Tambi茅n podr铆a considerar ajustar su alerta. Es importante tener alertas para saber cuando algo anda mal. El caso es que demasiadas alertas a veces significan que se pierden las m谩s importantes. Un mensaje de que Wordfence ha bloqueado la IP solo para hacerle saber que Wordfence est谩 haciendo su trabajo. No es procesable. Por lo general, desactivo estas alertas para los sitios que administro: Alerta de direcci贸n IP bloqueada Cuando alguien est谩 bloqueado desde Alerta de inicio de sesi贸n cuando se usa el formulario v谩lido de 芦contrase帽a perdida禄 para un usuario v谩lido Esto reduce el ruido y me permite saber si recibo un correo electr贸nico hay muchas posibilidades de que tenga que hacer algo.

Espero que esto ayude.

Tim

驴Solucion贸 tu problema??

0 / 0

Deja una respuesta 0

Tu direcci贸n de correo electr贸nico no ser谩 publicada. Los campos obligatorios est谩n marcados con *