Как предотвратить утечку логинов Wordpress/Woocommerce?

Question

[Yuribtr]

Здравствуйте, после запуска магазина на Woocommerce через Sucuri Security заметил, что появились попытки подбора пароля к административным аккаунтам и аккаунтам с правами менеджера магазина. Что интересно, к учетным записям обычных пользователей (например клиентов магазина) пароли не подбираются. Причем удаление логина и создание нового с административными правами (естественно со сменой ID) не помогает - через небольшое время хакеры начинают подбирать пароли используя этот новый логин.
Перебор юзеров по ID также запрещен. То есть обращение к сайту site.com/?author=1 приводит к редиректу на главную страницу. В материалах, да и везде в товарах, отсутствует упоминание автора (т.н. byline). В плагине Yoast SEO отключен вывод архивов авторов. Все плагины обновлены. Подозреваю все таки сам WooCommerce - ведь подбор идет не только по администраторам, но и по менеджерам магазинов.
Пока я ограничил подбор паролей через плагин "Limit Login Attempts Reloaded", но хотелось бы все таки понять как вообще можно запретить хакерам получать логины? Какие методы проверки есть чтобы узнать где утекают логины?

Comments

[m0ze]

У WordPress есть несколько способов получения списка аккаунтов, как администраторов, так и любых других. Отдельным образом ещё в этом помогает WooCommerce, если установлен и активирован (из "коробки" есть два линка, через которые возможен перебор аккаунтов). Если бы вы указали ссылку на сайт, то можно было бы более конкретно посмотреть, а так - только общие рекомендации вроде IPTables + fail2ban, убрать всякие "Limit Login Attempts" и аналоги, равно как и плагины безопасности, от которых вреда может быть больше, чем пользы.

Почему вас, собственно, так беспокоят именно логины? Если для учётной записи администратора задан надёжный пароль, то особо переживать не о чем в этой плоскости.

[Yuribtr]

m0ze, я уже не раз здесь под ответами излагал свою точку зрения. Дело в том, что брутят не только админовский аккаунт, но и аккаунты менеджеров магазина. А за силу их паролей я не могу отвечать. Пока "Limit Login Attempts" помогает - блокировки идут. Также выключил xmlrpc - он мне пока не нужен. Но вопрос даже не в безопасности, а в приватности. Я не хочу чтобы видели список логинов тех, кто управляет сайтом. На это есть собственные причины.

Вот вы пишете:

Отдельным образом ещё в этом помогает WooCommerce, если установлен и активирован (из "коробки" есть два линка, через которые возможен перебор аккаунтов)

Можете подсказать каким образом они перебираются? Линки такого типа я закрыл "site.com/?author=1"

[m0ze]

Yuribtr, а форсировать сложность пароля не можете? В WordPress это довольно просто решается, и всякие популярные пароли вроде "qwerty123" отлетят сами собой.

Пока "Limit Login Attempts" помогает - блокировки идут.

Блокировки должны быть на уровне сервера в идеале, а не на уровне движка.

Линки такого типа я закрыл "site.com/?author=1"

Не факт, что именно закрыли - это ещё проверять надо.

Я не хочу чтобы видели список логинов тех, кто управляет сайтом. На это есть собственные причины.

Смотрите все JSON, доступные извне, страницы (кастомные, категорий, архивов и пр.) в поисковиках; WooCommerce - /my-account/xxxx/, где xxxx - это логин.

[Yuribtr]

m0ze, ок, я вас понял. Спасибо.

[m0ze]

Yuribtr, ещё немного деталей:

- посмотрите исходный код страниц и поищите в нём

<script type="application/ld+json" class="rank-math-schema">

- внутри, среди прочих данных, может быть и логин автора записи/страницы;

- /wp-json/wp/v2/users или /wp-json/wp/v2/users/X, где X - ID пользователя;

- /wp-json/wp/v2/posts - записи сайта, среди данных будет ID автора записи;

- /wp-json/wp/v2/pages - то же, что и с записями, только применительно к страницам;

- /wp-json/wp/v2/media - то же самое, только для файлов в библиотеке;

- /wp-json/wp/v2/comments - актуально, если не отключали возможность оставлять комментарии на сайте;

- /wp-json/wp/v2/product - актуально для работающего WooCommerce - выводятся все товары (по ID страницы товара можно посмотреть данные по медиа-файлам, где будет ID автора);

- /feed/ - [если не отключён фид] среди прочего, там также будет указан автор <dc:creator>автор</dc:creator>.

Брутфорс (процесс автоматизируется, разумеется):

- через форму /wp-login.php - при некорректном логине будет возвращена ошибка с соотв. сообщением;

- /author/xxxx/;

- /my-account/xxxx/ и /account/xxxx/ [для WooCommerce].

[Yuribtr]

m0ze, ну вот, наконец толковый ответ, спасибо. Оказывается через wp-json незалогиненым показываются все логины и не только. Буду отключать REST API для не админов.
Можете вставить свое сообщение как ответ, и я его помечу как решение.

[m0ze]

Yuribtr, окей!

Answer 1

[m0ze]

У WordPress есть несколько способов получения списка аккаунтов, как администраторов, так и любых других. Отдельным образом ещё в этом помогает WooCommerce, если установлен и активирован (из "коробки" есть два линка, через которые возможен перебор аккаунтов). Если бы вы указали ссылку на сайт, то можно было бы более конкретно посмотреть, а так - только общие рекомендации вроде IPTables + fail2ban, убрать всякие "Limit Login Attempts" и аналоги, равно как и плагины безопасности, от которых вреда может быть больше, чем пользы.

Немного деталей:

- посмотрите исходный код страниц и поищите в нём

<script type="application/ld+json" class="rank-math-schema">

- внутри, среди прочих данных, может быть и логин автора записи/страницы;

- /wp-json/wp/v2/users или /wp-json/wp/v2/users/X, где X - ID пользователя;

- /wp-json/wp/v2/posts - записи сайта, среди данных будет ID автора записи;

- /wp-json/wp/v2/pages - то же, что и с записями, только применительно к страницам;

- /wp-json/wp/v2/media - то же самое, только для файлов в библиотеке;

- /wp-json/wp/v2/comments - актуально, если не отключали возможность оставлять комментарии на сайте;

- /wp-json/wp/v2/product - актуально для работающего WooCommerce - выводятся все товары (по ID страницы товара можно посмотреть данные по медиа-файлам, где будет ID автора);

- /feed/ - [если не отключён фид] среди прочего, там также будет указан автор <dc:creator>автор</dc:creator>.

Брутфорс (процесс автоматизируется, разумеется):

- через форму /wp-login.php - при некорректном логине будет возвращена ошибка с соотв. сообщением;

- /author/xxxx/;

- /my-account/xxxx/ и /account/xxxx/ [для WooCommerce].

Answer 2

[Владимир Дружаев]

Это не хакеры. Это боты. Они уже много десятилетий вордпресс и другие cms на автомате шерстят.
Крепкие пароли и закрытие доступа ip после 3х попыток - усмирят ботов.

p.s. не увлекайся ты этими Sucuri Security best secury - все это нагружает сервак.
Все что нужно знать - "да боты будут долбить всегда". Защита через серверный iptables и нет проблем. А вордпресс навешивать укрепляя безопасность - ну это как дверь стулом подпирать - работает, но не правильно. А врезать правильный замок - вот решение

Comments

[Егор Соколов]

Не сказать что много десятилетий, пару десятков лет от силы, но не суть. iptables в случае с виртуальным хостингом не вариант, даже .htpasswd не всегда. Крепкие пароли - хорошо, экзотические логины для админов/менеджеров тоже. Желательно чтобы в них не фигурировало доменное имя и роль пользователя, sitename_admin, manager_namesite постоянно брутфорсятcя ботами.

[Владимир Дружаев]

экзотические логины для админов/менеджеров тоже

логины не являются местом проблемы в вордпресс. Только лишь сильные пароли. Почитай в оригинале на вордпресс

[Yuribtr]

Это не хакеры. Это боты.

Спасибо капитан очевидность. Я то думал что ко мне пытается каждые три секунды залогиниться хакер, но теперь то конечно понятно что это был бот. Только вот кто запускает бота, не подскажете?

Я не хочу чтобы админовские логины вываливались в паблик. Это неправильно. Представьте что вы приходите на ресурс и можете видеть всех админов, даже если они против этого. В логинах могут быть конфиденциальные данные.
Как минимуму это повышает шанс удачной атаки и мириться с этим нельзя. Поэтому я не могу ответить ваш ответ как решение.

[Владимир Дружаев]

Только вот кто запускает бота, не подскажете?

например зараженные IoT. И не факт что их создатель живой или домен, для которого они изначально собирали инфу, жив. Вы удивитесь и новый дивный мир открылся - но они живут своей жизнью и давно.

В логинах могут быть конфиденциальные данные.

уха ха. Что за одмины то такие.?

Представьте что вы приходите

- продолжу "... к чужой двери и видите замок. И вам лишь только ключ (читай "пароль") надо подобрать." Никто не запрещает смотреть на дверь))

[Yuribtr]

например зараженные IoT. И не факт что их создатель живой или домен, для которого они изначально собирали инфу, жив. Вы удивитесь и новый дивный мир открылся - но они живут своей жизнью и давно.

Ок, кто заразил эти "зараженные IoT"? И кому ботнеты приносят выгоду?

уха ха. Что за одмины то такие.?

Зря смеётесь. Деанонимизация уже часть работы по подбору пароля. В логине (особенно созданном автоматически) может содержаться часть email. Если пароль от такого email утек, то значит логин к сайту скомпрометирован. Помимо этого есть и другие причины скрывать настоящие логины. Если вы не знаете как работает социальная инженерия, не значит что эти данные надо выкладывать в открытый доступ. Иначе разработчики Wordpress бы не делали обязательным ввод nickname пользователя, чтобы скрыть логин.

- продолжу "... к чужой двери и видите замок. И вам лишь только ключ (читай "пароль") надо подобрать." Никто не запрещает смотреть на дверь))

Представьте себе, что уже лет как 60-70 никто на дверях не пишет кто проживает в данной квартире. Персональные данные и все такое.

[shurshur]

Yuribtr, в России - не пишут, как правило. В Европе, в США, даже в Японии в частном секторе и даже в многоквартирных домах может быть написана фамилия владельца на калитке или около подъездного звонка либо домофона. Другой вопрос, что эта информация есть только "на земле" и её не собирают в базы данных, смешанные с паспортными данными, номерами телефонов, суммой на банковском счёте итд итп.

Да и у нас в деревнях иногда в большом доме, разделённом на 4 части (оформлены как "квартиры") на коллективном (из четырёх отсеков) почтовом ящике, расположенном на улице за забором, легко могут быть написаны фамилии живущих, чтобы почтальону было проще доставлять письма.

[Yuribtr]

shurshur, я рад за цивилизованные страны, где можно не бояться мошенников. Однако в этой стране я бы предпочел не выставлять на показ свои личные данные.
Давайте оставим попытки увести обсуждение в сторону от технического решения задачи.

[shurshur]

Yuribtr, я предлагаю таке не пататься использовать сомнительные аналогии.

Лично я не удивлюсь, что утекают логины потому, что на странице (либо в rss-фиде или ещё где) указывается автор очередной публикации.

[Yuribtr]

shurshur, ну это был ответ на неудачную аналогию Владимира.

Как я написал в исходном вопросе, нигде нет указания на автора:

"В материалах, да и везде в товарах, отсутствует упоминание автора (т.н. byline)."

[shurshur]

Yuribtr, но либо они где-то фигурируют (может, rss?), либо есть дырки, через которых их достают.

[Владимир Дружаев]

Yuribtr, вот похожая тема и там ссылка на то что логин - это не опасность https://ru.wordpress.org/support/topic/%d0%b2-%d0%...

[Yuribtr]

Владимир Дружаев, я понял вашу мысль. Но боюсь что вы меня не поняли. Я не хочу чтобы логины утекали не только из за безопасности (хотя это конечно важная часть предотвращения взлома, чтобы там ни говорили). В логинах может быть информация, сопоставляя которую можно понять где еще данный человек является админом или просто зарегистрирован - так сказать дополнить цифровой профиль. Это все вопросы бигдаты и приватности. Ну и есть еще другие соображения, почему бы не стоило светить админовские логины. Поэтому данному вопросу нужно решение.

[Владимир Дружаев]

Yuribtr, увы - но это детские предрассудки. Если вы еще 2 горсти модных терминов напишете - от этого важней, простой вопрос, с простым ответом, не станет.

[Yuribtr]

Владимир Дружаев Спасибо вам и можете более не утруждать себя ответами на мой вопрос.

Answer 3

[sputnickk]

в .htaccess пишешь:

# защита wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# Защищаем собственно .htaccess файл
<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>


<Files wp-login.php>
order deny,allow
deny from all
</Files>

<Files wp-admin.php>
order deny,allow
deny from all
</Files>

<Files wp-signup.php>
order deny,allow
deny from all
</Files>

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

и меняешь путь на логин, хорош этот плагин - wps hide login
секурные плагины/комбайны - только замедляют сайт, если еще больше хочется защиты, пусти сайт через cloudflire и там создай правило - чтобы блокировало - https://i.imgur.com/OElnkXv.png у меня на посещаемых сайтах до пол тыс блокировок в день

Comments

[Yuribtr]

sputnickk мне надо чтобы регистрировались пользователи и админка работала. Поэтому вариант с запретом открытия этих файлов не подходит.
xmlrpc.php уже закрыт, запрет на wp-config.php и .htaccess- непонятно каким образом поможет. Похоже вы скинули общие рекомендации по защите Вордпресса. А мне нужно понять, каким образом утекают логины.

[m0ze]

sputnickk .htaccess - это убогий костыль, и на деле вреда от него может быть больше, чем гипотетической пользы. Это первое. Второе - wp-admin.php - это что и откуда? Третье - защита wp-config.php, защита от кого/чего конкретно? К следующему блоку вопрос аналогичный. Четвёртое - вы не "закрыли" все возможные варианты авторизации таким вот образом.

В общем, эти строчки лучше сразу на помойку отправить.