Почему новый сайт на WP сразу же попадает под Brute force?

Question

[Testing Tester]

Создаю сайт на WP:
логин админа - тяжелая произвольная комбинация символов, пароль - так же.

Сразу после создания ставлю например Sucuri плагин для оповещения о неудачных попытках логина, и они появляются в первый же день работы сайта.

Писал в техподдержку хостинга, сказали, что видимо каким-то образом в базу спамеров brute force попадают url тех сайтов, которые создаю и с которыми работаю.

Рабочий ПК проверял на вирусы, чистил хостинг полностью и загружал только оригинальный WP , в общем даже на чистую версию сайта без плагинов и сторонних тем идут brute force

Как быть? Откуда появляются эти brute force и с чем это может быть связано?

Comments

[Axian Ltd.]

Вы кому-то явно интересны, что с этим можно сделать?

[Testing Tester]

Axian Ltd.: Это точно не направленные конкретно на меня действия, т.к. все ip адреса и почты спамеров нахожу в гугле по базам спамов.
Вопрос уже даже больше не в том, как защитить на данный момент подверженные атакам сайты, а как не допустить попадание новых сайтов и доменов в базу спамеров?

[Axian Ltd.]

IMHO никак, только защищаться. Открыть только нужные порты, поставить mod_security, плагин контроля целостности WP, следить за обновлениями плагинов, тестировать из первоначально в песочнице - вобщем обычне действия администратора по обслуживанию хостинга.

[Axian Ltd.]

Да, и конечно же перейти на HTTPS, желающих сразу поубавиться.

[Testing Tester]

Axian Ltd.: т.е. все сайты в мире на WP подвергаются постоянному спаму и атакам?

[Axian Ltd.]

Безотносительно СМС, нападают на всех. Например, среднее время жизни компьютера в Интернет без защиты 10-20 мин.

Answer 1

[rPman]

спамеры и хакерские утилиты постоянно мониторят интернет на наличие уязвимостей, то очень прибыльный бизнес поэтому как только ваш домен или ip адрес попадает хотя бы раз в списки сканирования, к вам будут ломиться.

в базу спамеров brute force попадают url тех сайтов, которые создаю и с которыми работаю.

проверьте СВОЮ машину на наличие вирусов, да банальный плагин в браузере, отсылающий информацию спамеру, в принципе это оправдано, ставить такие вирусы разработчикам, мало того, можно получить доступ в девелоперскую версию сайта и если ее заразить - это будет эффективнее

Comments

[Testing Tester]

Проверял через eset smart security, компьютер чистый, все якобы нормально. Вот за ночь пришло 40 уведомлений на почту о неудачных логинах, причем их могло быть больше, т.к. стоит ограничение на 5 уведомлений в час.
Если бы только логины, это еще ладно, поменял адрес логина и нет проблем, но начинают спамить и контактные формы уже

[rPman]

антивирус - это плацебо, дает ложное ощущение защищенности.
проверьте самостоятельно все до чего можете дотянуться, что понимаете

проведите эксперимент с чистой машины (livecd любого linux) создайте сайт и никак не светите его с основной операционной системы, если он внезапно не попадет в список хакеров, значит однозначно проблема на вашей машине

[Testing Tester]

rPman: Спасибо, именно это и собирался попробовать, создать на поддомене или совсем новом домене сайт и посмотреть

[ilya_k]

bobongida97: Забавно, если это сам плагин Sucuri и отсылает данные о новом сайте))

[Testing Tester]

ilya_k: Вряд ли)
Сейчас кстати отключил все плагины хрома для разработки, типа pixel perfect и т.д. Создал 2 новых сайта, поставил сразу sucuri, свою тему-заготовку, и плагин, который подозревал в возможной отправке данных о сайте. Как итог, со всем этим начальным набором и без плагинов хрома - тишина, в админку не лезут. Неужели расширения хрома могли быть причиной всего этого?

[ilya_k]

bobongida97: мда предположу, что вполне. Контроль там не такой строгий

Answer 2

[Testing Tester]

Кстати, атаки всегда идут с ip адресов, которые находятся в промежутке принадлежащих адресов всяких хостинг-компаний. Например некий заброшенный хостинг сервис из Египта был, компания телефонии из Германии, Пакистана, и т.д.
Вряд ли именно они занимаются этим, но почему с их ip адресов все это идет, не ясно

Comments

[rPman]

это же очевидно, любой разумный хакер не будет работать со своих серверов - атакуют через каскад взломанных машин в интернете.