Gen 4 VPS og dedikerede servere
Gen 3 VPS og dedikerede servere

GoDaddy Hjælp

Vi gjorde vores bedste med oversættelsen af denne side til dig. Siden findes også på engelsk.

Almindelige WordPress -angreb

Der er to filer, der almindeligvis bruges til WordPress brute force-angreb: xmlrpc.php og wp-login.php. Denne artikel beskriver, hvordan du kan finde bevis for et angreb.

Angreb på xmlrpc.php

Hvad er XML-RPC?

XML-RPC (xmlrpc.php) tillader fjernopdateringer til WordPress fra andre programmer. Dette er ikke længere nødvendigt med de nuværende versioner af WordPress, og det kan aktiveres, så dit website kan aktiveres. Det er almindeligt at finde brute force -angreb ved brug af denne fil.

Hvordan kan jeg se, om jeg bliver angrebet?

Hvis du finder flere adgangsforsøg fra den samme IP på kort tid, kan det indikere et angreb.

I eksemplet herunder har IP 12.34.56.789 forsøgt at få adgang til siden xmlrpc.php flere gange på én gang ( 10/Sep/2022: 05: 12: 02 ):

acoolexample.com -ssl_log: 12.34.56.789 - -[10/Sep/2022: 05: 12: 02 -0700] "POST //xmlrpc.php HTTP/1.1" 200 438 " -" "Mozilla/5.0 (Windows NT 10.0 ; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36 "acoolexample.com -ssl_log: 12.34.56.789 - - [10/Sep/2022: 05: 12: 02 -0700]" POST //xmlrpc.php HTTP/1.1 "200 438"-"" Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36 "acoolexample.com- ssl_log: 12.34.56.789 - - [10/Sep/2022: 05: 12: 02 -0700] "POST //xmlrpc.php HTTP/1.1" 200 438 " -" "Mozilla/5.0 (Windows NT 10.0; Win64; x64 ) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36 "acoolexample.com -ssl_log: 12.34.56.789 - - [10/Sep/2022: 05: 12: 02 -0700]" POST // xmlrpc .php HTTP/1.1 "200 438"-"" Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36 "

Angreb på wp-login.php (wp-admin).

Angribere bruger ofte bots, der prøver dusinvis, hvis ikke hundredvis af forbindelser på én gang, for at få adgang til dit wp-admin-panel.

Hvordan kan jeg se, om jeg bliver angrebet?

Hvis du finder flere adgangsforsøg fra den samme IP på kort tid, kan det indikere et angreb. Autoriserede brugere, der har problemer med at huske deres adgangskode, vises typisk et par minutter mellem forsøgene.

I eksemplet nedenfor har IP 12.34.56.789 forsøgt at få adgang til siden wp-login.php flere gange på én gang ( 10/Sep/2022: 08: 39: 15 ):

acoolexample.com -ssl_log: 12.34.56.789 - -[10/Sep/2022: 08: 39: 15 -0700] "POST /wp-login.php HTTP/1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36 "acoolexample.com -ssl_log: 12.34.56.789 - - [10/Sep/2022: 08:39:15 -0700] "POST /wp-login.php HTTP /1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36 "acoolexample.com -ssl_log: 12.34.56.789 - - [10/Sep/2022: 08:39:15 -0700] "POST /wp-login.php HTTP /1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, ligesom Gecko) Chrome/103.0.0.0 Safari/537.36 "

Næste trin

  • Kontrollér IP -ejerskabet ved hjælp af en whois -søgning. Hvis IP'en er fra Kina, og du ikke har nogen kunder/besøgende fra Kina, kan det være skadeligt. Hvis IP'en tilhører (for eksempel) Cloudflare, er det usandsynligt, at den er skadelig.
  • Bloker angrebet.