Gen 4 VPS och dedikerade servrar
Gen 3 VPS och dedikerade servrar

GoDaddy Hjälp

Vi gjorde vårt bästa för att översätta den här sidan åt dig. Sidan är också tillgänglig på engelska.

Vanliga WordPress-attacker

Det finns två filer som ofta används för brute force-attacker i WordPress: xmlrpc.php och wp-login.php. I den här artikeln beskrivs hur du hittar bevis på en attack.

Attacker på xmlrpc.php

Vad är XML-RPC?

XML-RPC (xmlrpc.php) tillåter fjärruppdateringar av WordPress från andra program. Detta är inte längre nödvändigt med nuvarande versioner av WordPress och om du låter det vara aktiverat kan din webbplats vara värdefull. Det är vanligt att hitta brute force-attacker med den här filen.

Hur vet jag om jag attackeras?

Om du hittar flera åtkomstförsök från samma IP på kort tid kan det vara en attack.

I exemplet nedan har IP 12.34.56.789 försökt komma åt sidan xmlrpc.php flera gånger samtidigt ( 10 / Sep / 2022: 05: 12: 02 ):

acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 05: 12: 02 -0700] "POST //xmlrpc.php HTTP / 1.1" 200 438 "-" "Mozilla / 5.0 (Windows NT 10.0 ; Win64; x64) AppleWebKit / 537.36 (KHTML, som Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 05: 12: 02 -0700]" POST //xmlrpc.php HTTP / 1.1 "200 438" - "" Mozilla / 5.0 (Windows NT 10.0; Win64; x64) AppleWebKit / 537.36 (KHTML, like Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com- ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 05: 12: 02 -0700] "POST //xmlrpc.php HTTP / 1.1" 200 438 "-" "Mozilla / 5.0 (Windows NT 10.0; Win64; x64 ) AppleWebKit / 537.36 (KHTML, like Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 05: 12: 02 -0700]" POST // xmlrpc .php HTTP / 1.1 "200 438" - "" Mozilla / 5.0 (Windows NT 10.0; Win64; x64) AppleWebKit / 537.36 (KHTML, like Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "

Attacker på wp-login.php (wp-admin).

Angripare använder ofta bots som försöker dussintals om inte hundratals anslutningar samtidigt för att få tillgång till din wp-admin-panel.

Hur vet jag om jag attackeras?

Om du hittar flera åtkomstförsök från samma IP på kort tid kan det vara en attack. Auktoriserade användare som har problem med att komma ihåg sitt lösenord visas vanligtvis några minuter mellan försök.

I exemplet nedan har IP 12.34.56.789 försökt komma åt sidan wp-login.php flera gånger samtidigt ( 10 / sep / 2022: 08: 39: 15 ):

acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 08: 39: 15 -0700] "POST /wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0 (Windows NT 6.3; Win64; x64) AppleWebKit / 537.36 (KHTML, like Gecko) Chrome / 103.0.0.0 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 08:39:15 -0700] "POST /wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0 (Windows NT 6.3; Win64; x64) AppleWebKit / 537.36 (KHTML, like Gecko) Chrome / 103.0.0.0 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Sep / 2022: 08:39:15 -0700] "POST /wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0 (Windows NT 6.3; Win64; x64) AppleWebKit / 537.36 (KHTML, som Gecko) Chrome / 103.0.0.0 Safari / 537.36 "

Nästa steg

  • Kontrollera IP-äganderätten med en whois-sökning. Om IP-adressen kommer från Kina och du inte har några kunder / besökare från Kina kan det vara skadligt. Om IP-adressen tillhör (till exempel) Cloudflare är det osannolikt att det är skadligt.
  • Blockera attacken.