Трохи дістало, що постійно щось намагається підібрати пароль від адмінки ВордПресу. Хоча, навіть, якщо вони знатимуть логін з паролем, потрібно ще буде ввести 2FA-код, але всеодно трохи бісить. За допомогою WordFence спостерігаю цікаву картину — які логіни намагаються використовувати для авторизації.

І що не так з логінами, яки використовують боти?

Більша частина з логінів, до яких намагалися підібрати пароль, це буквально “[login]” — наче парсер не зпрацював, і не замінив темплейт на значення змінної зі словника. Це трохи забавляє, враховуючи, що у мене налаштоване блокування айпішнику на два місяці за спробу використати неіснуючий логін. А юзеру з логіном [login], як можна здогадатись, на цьому сайті немає.

Колись пробіжусь по репортах, та збиру трохи статистики, з яких країн та хостингів/ частіше за все намагаються брутфорсити паролі від адмінок ВордПресу.

Трохи офтопу, коли ламає не бот, а цілеспрямована людина

Не реклама, але мені дуже подобається WordFence — досить непогано блокує всяку підозрілу активність. Якби я його поставив рік тому на одному з сайтів, то не було б ціквавого випадку із зломом того сайту. Якщо знайду логи з серверу, то зможу детально розібрати те, що тоді сталося. Коротко кажучи — ломанули ВордПрес (можливо через дірявий плагін для теми, потрібно по логах дивитися), та у Гугл Аналітиці підв’язали цей сайт до лівого акаунту, про що мені прийшло повідомлення. Подальший пошук по айпішнику та деяким підказкам, отриманим за рахунок інфи про локаль гуглівського акаунту зловмисника дозволив досить чітко ідентифікувати, хто це міг робити), аж до його акаунту у LinkedIn.