¿Aumento de intentos fallidos de inicio de sesión, ataques de fuerza bruta? [cerrado]

Actualmente hay una botnet activa, que ataca los sitios de WordPress y Joomla . Y probablemente más. Usted debería ver más inicios de sesión bloqueados. Si no lo haces, probablemente haya algo mal.

Pero tenga en cuenta que el bloqueo de direcciones IP no ayuda contra una red bot con más de 90,000 direcciones IP.
Y si lo hace por plugin, evite Limitar intentos de inicio de sesión . Almacena las direcciones IP en una opción serializada que debe ser sin serializar en cada solicitud. Esto es muy caro y lento.
Encuentre un complemento que use una tabla de base de datos separada o bloquee las direcciones IP en su .htaccess de esta manera:

order allow,deny
# top 30 IP addresses listed in 
# http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
deny from 31.184.238.38
deny from 178.151.216.53
deny from 91.224.160.143
deny from 195.128.126.6
deny from 85.114.133.118
deny from 177.125.184.8
deny from 89.233.216.203
deny from 89.233.216.209
deny from 109.230.246.37
deny from 188.175.122.21
deny from 46.119.127.1
deny from 176.57.216.198
deny from 173.38.155.22
deny from 67.229.59.202
deny from 94.242.237.101
deny from 209.73.151.64
deny from 212.175.14.114
deny from 78.154.105.23
deny from 50.116.27.19
deny from 195.128.126.114
deny from 78.153.216.56
deny from 31.202.217.135
deny from 204.93.60.182
deny from 173.38.155.8
deny from 204.93.60.75
deny from 50.117.59.3
deny from 209.73.151.229
deny from 216.172.147.251
deny from 204.93.60.57
deny from 94.199.51.7
deny from 204.93.60.185

allow from all

Ver también:

• Codex: Ataques de fuerza bruta
• Protección de inicio de sesión con .htaccess por Ipstenu (Mika Epstein)
• Reglas de seguridad personalizadas de WordPress Mod por Liquid Web
• Protección contra los ataques de fuerza bruta de WordPress por Sucuri Blog, también : ¿Ataques masivos de fuerza bruta de WordPress? - Mito o realidad con detalles estadísticos interesantes
• Cómo proteger con contraseña el archivo wp-login.php por HostGator

Nuestra etiqueta seguridad también merece una visita, especialmente:

• Verificando que he eliminado completamente un hack de WordPress ?
• Asegurar cuentas de administrador - Descubrimiento de nombre de usuario
• How brute- Forcer sabe que la contraseña está descifrada para el nombre de usuario de destino?

Si ha movido wp-admin o su wp-login.php estas URL aún pueden adivinarse agregando /login o /admin a la URL principal. WordPress redireccionará estas solicitudes a la ubicación correcta.
Para detener ese comportamiento, puedes usar un complemento muy simple:

<?php  # -*- coding: utf-8 -*-
/* Plugin Name: No admin short URLs */

remove_action( 'template_redirect', 'wp_redirect_admin_locations', 1000 );

Creo que esto es seguridad por oscuridad , nada grave.

Además de los recursos que se enumeran en su respuesta, también puede usar Autenticación HTTP básica de PHP para proteger con contraseña a wp-admin y o wp-login.php para bloquear el acceso a wp-login.php .

Acabo de liberé un complemento que lo hace por usted junto con el bloqueo de solicitudes de No-Referrer. (El bloque No-Refrrer actualmente no funciona para los sitios instalados en un subdirectorio).

Puedes proteger a tu administrador de WordPress con los siguientes métodos.

1. Agregue números, caracteres especiales y alfabetos en su contraseña de administrador y luego haga contraseña segura
2. Si tiene más registros en su base de datos, esto ralentizará sus sitios web. Por lo tanto, se puede evitar agregando imagen captcha en su página wp-admin. Algunos complementos están disponibles para ello. Me gusta enlace