Защита сайта WordPress от попыток взлома, спама в комментариях, почтовых спам-сообщений и ловля «злобных» ботов. Черный список ботов-взломщиков. IP адреса.
Если графа
from -
пустая и количество писем от 20 до 100 за 1 минуту — значит вас пытаются взломать.
ip адреса злобных ботов:
62.102.148.67
172.16.214.11
2.92.198.208
109.86.71.21
185.107.47.215
77.37.207.127
46.163.128.26
162.247.72.199
77.247.181.162
185.220.101.4
85.93.91.98
89.31.57.5
5.165.56.129
82.83.186.129
195.123.213.116
199.249.224.45
195.176.3.19
51.15.63.43
79.137.68.85
51.15.65.25
5.79.86.15
37.220.35.202
89.236.34.117
185.152.65.187
185.220.101.30
185.100.84.250
83.174.209.143
154.16.149.74
65.19.167.132
204.85.191.30
84.22.158.215
192.42.116.16
176.97.36.173
66.70.217.179
185.243.113.55
146.185.177.103
185.220.101.20
85.12.222.67
185.34.33.2
185.83.215.28
37.187.129.166
192.36.27.7
77.247.181.163
178.17.174.196
94.24.244.182
185.56.80.242
51.15.229.219
212.21.66.6
95.220.72.96
217.171.6.166
31.181.159.112
204.85.191.31
89.234.157.254
194.135.247.146
192.36.27.4
185.220.101.8
78.245.206.3
163.172.67.180
216.17.101.79
88.56.41.148
31.132.173.62
94.230.208.148
185.222.209.32
199.249.224.40
212.175.77.165
37.147.62.140
85.237.61.86
94.79.49.117
18.188.234.84
37.146.1.154
199.249.224.40
88.147.153.137
195.16.58.54
109.110.35.51
162.247.73.206
176.215.57.43
51.15.34.228
178.20.55.18
174.138.15.127
193.233.158.2
195.201.34.238
185.165.168.229
94.141.62.188
5.164.206.158
46.33.56.202
188.43.36.22
85.95.178.129
91.246.1.37
109.229.26.31
95.165.7.48
94.66.157.39
189.59.5.91
80.67.172.162
213.155.213.119
212.112.126.167
109.184.129.77
89.22.28.185
46.165.254.166
176.10.99.200
192.42.116.19
178.46.78.170
163.172.223.200
81.30.217.84
171.25.193.77
217.150.78.239
94.180.115.153
195.9.189.190
185.220.101.34
192.42.116.19
217.150.72.5
176.10.104.240
185.126.180.252
185.59.58.48
109.188.64.73
185.217.95.199
82.221.139.25
93.185.29.6
36.79.38.43
192.36.27.6
94.241.13.229
31.132.249.161
46.165.230.5
80.254.123.36
213.154.19.20
95.45.252.6
115.89.123.121
87.249.207.129
51.15.125.18
77.50.89.150
185.104.120.60
188.187.8.70
185.104.120.3
167.99.134.21
31.132.178.242
195.201.115.213
93.185.28.223
94.180.114.243
86.107.110.217
5.166.100.24
142.4.211.161
95.84.161.27
185.220.101.12
192.42.116.16
109.110.35.51
212.129.51.221
144.217.164.43
197.231.221.211
185.105.89.38
130.0.30.153
185.220.101.1
104.194.134.239
37.233.102.65
185.83.215.28
195.201.130.112
185.220.102.6
185.100.87.207
150.95.175.44
185.220.101.25
124.16.131.251
82.209.196.39
185.83.215.22
178.33.66.252
166.70.207.2
51.15.138.4
76.126.252.12
104.244.73.126
185.220.101.46
180.250.100.230
61.53.66.4
218.29.6.9
218.204.138.137
111.50.29.167
111.50.29.167
177.19.187.35
59.51.167.244
122.252.239.162
201.47.252.79
119.40.80.198
183.214.236.76
116.228.50.194
58.46.64.38
222.187.193.230
5.188.211.22
5.188.211.10
46.118.155.218
163.172.132.199
72.52.77.102
195.201.130.112
185.220.101.6
195.176.3.23
107.175.26.92
51.15.86.162
51.15.57.167
195.176.3.24
163.172.132.199
163.172.132.199
192.3.26.31
194.6.231.251
213.252.140.118
144.217.150.139
178.165.72.177
193.15.16.4
87.118.92.43
216.218.222.12
163.172.160.182
51.15.53.83
51.15.205.192
51.15.205.214
199.249.224.66
193.107.85.56
192.42.116.13
198.98.61.36
185.220.101.0
94.102.51.78
185.117.215.9
46.182.85.163
207.46.13.101
185.100.86.154
51.15.63.229
192.42.116.17
51.15.75.121
108.45.108.81
94.142.242.84
77.247.181.165
185.119.81.11
163.172.214.8
93.115.95.205
95.128.43.164
93.115.95.206
23.225.161.126
94.230.208.147
185.100.86.100
185.220.101.33
185.113.140.37
142.44.154.169
207.244.70.35
107.181.187.55
51.15.37.97
185.100.85.196
176.126.252.12
178.32.147.150
171.25.193.235
62.141.54.34
185.220.101.5
85.248.227.163
64.113.32.29
80.127.116.96
176.10.107.180
185.107.70.202
92.63.103.241
185.220.101.9
171.25.193.25
46.166.129.156
192.42.116.20
46.229.237.45
193.169.145.66
185.220.102.4
176.119.28.5
171.25.193.78
185.234.217.143
198.98.48.40
66.175.208.248
145.239.91.37
144.217.80.80
51.15.64.212
204.8.156.142
91.219.237.244
195.228.45.176
178.17.174.14
185.100.84.82
185.217.93.22
192.160.102.170
198.96.155.3
188.209.49.20
185.220.100.252
111.206.163.56
58.62.55.130
190.13.106.214
59.124.21.193
27.42.165.226
61.177.25.254
219.149.220.82
222.209.223.91
203.191.145.46
60.248.41.148
121.199.58.190
41.39.153.89
5.150.254.67
223.241.100.16
41.39.153.89
118.163.143.170
222.187.41.10
213.119.80.188
122.224.36.28
87.253.126.86
221.4.197.154
124.42.103.139
111.59.53.130
195.81.64.102
122.227.62.206
122.227.20.90
220.191.249.7
123.183.208.184
218.93.148.76
58.210.119.226
58.58.135.158
177.43.237.49
221.130.130.238
197.45.97.216
58.218.194.81
221.212.18.146
61.161.109.153
27.254.144.211
60.166.48.158
58.220.234.18
58.216.224.59
210.75.202.138
118.163.135.17
61.134.52.164
219.138.244.91
218.4.177.21
222.170.168.106
119.146.145.50
220.174.241.102
112.113.241.17
109.224.39.165
218.22.100.42
61.153.49.210
222.217.221.179
80.65.21.41
125.35.93.62
211.118.26.122
80.147.59.28
117.35.207.102
223.100.12.172
114.104.158.172
218.200.61.170
112.91.108.190
27.17.57.98
189.114.67.217
116.248.41.190
60.171.135.254
220.171.48.39
82.148.97.167
220.191.211.167
58.221.60.110
118.121.233.54
1.85.36.90
118.163.58.117
185.104.120.2
125.227.146.182
220.174.209.154
OS/browser - Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0
wp-login.php
формируется письмо, сообщающее о попытке входа на сайт
ваш.сайт/wp-login.php
и громадное количество попыток входа ~ от 70 до 100 заходов за одну минуту! Если логинится обычный юзер, то обращение к wp-login.php
происходит с сайта (заглавной или любой страницы), бот же ломится на прямую «поїзд їде — воно лізе», т.е. заход присходит ниоткуда по конкретному адресу.
Если «злобные» боты родом из Америки, Англии или Европы, то их количество попыток ограничено 20-40 попытками в минуту и один раз. Если же это боты «Made in China», то держись.
Смысл атак сводится к перебору Логинов и Паролей, с целью проникнуть на сайт под админом.
Ниже привожу 1/5 писем об атаке за 26 мая.
Приведенный список ай-пи адресов можно смело добалять в черный список, тем самым количество спам сообщений значительно поредеет.
Все сообщения с данных адресов автоматом попадут в спам сообщения, вам останется только почистить спам.
А как быть в данном случае со «злобными» ботами и wp-login.php? Это конечно не DDoS атака, но так же не-камильфо.
Представьте себе:
Находитесь вы себе преспокойненько дома, а какой то «дятел» снаружи ковыряет замки отмычками. Представили? Ваша реакция? Так же и с сайтом. Лично мне не нужны «дятлы с отмычками Made in China».
Мой окончательный выбор свелся к полному ограничению доступа к wp-login.php
Вход только с определенных IP адресов.
Для этого вписываем в файл .htaccess
следующие строки:
<Files wp-login.php>
Order deny,allow
deny from all
allow from XXX.XXX.XXX.XXX
</Files>
где XXX.XXX.XXX.XXX — ваш IP, с которого вы модерируете свой ресурс. Можно вписать несколько адресов через пробел.
Можно конечно пойти от обратного, т.е. разрешить всем, а в список запрета внести указанные адреса, но тогда придется постоянно пополнять забаненный список и получится 1500-3000 адресов.
Отрицательным данного способа является невозможность кому либо кроме вас залогиниться или зарегистрироваться на сайте, но всегда есть выход — установить какой либо модуль сборки е-майлов для подписки на новости. Из личной практики — из 1500 зарегистрированных пользователей за год логинилось всего 15 человек. Смысл логиниться? Оставить комментарий? Ну так комментарии могут оставлять все, но только после модерации и не входящие в черный список.
Если вам интересно насколько часто ваш сайт пытаются взломать «дятлы с отмычками Made in China», то перед внесением изменений в .htaccess
,
добавьте отправку на свой е-маил сообщений о попытках входа, т.е. обращений к wp-login.php
Как это сделать?
В директорию с вашей темой (в папочку, где находится functions.php
) помещаем файл, назовем его к примеру mail_reg.php3
(.php3 — чтобы не путать с остальными *.php файлами)
Содержание файла:
<?php
if (isset ($HTTP_X_FORWARDED_FOR))
{
$host = getenv($REMOTE_ADDR);
}else{
//$host = gethostbyaddr($REMOTE_ADDR); }
//$host = getenv($REMOTE_ADDR);
}
$ip=getenv('REMOTE_ADDR');
$ag=getenv("HTTP_USER_AGENT");
$froms=getenv("HTTP_REFERER");
$hosts=getenv("REQUEST_URI");
$hou=date("H");
$date=date('d M Y, H:i:s', mktime($hou+2)); //для разных временных зон
$topic="$ip - REGISTER";
$email="yourname@gmail.com"; //указать свой е-маил
$from="REGISTER";
$msg = "user on REGISTER";
$msg .="time user guest - $date";
$msg .="from - $froms"; //откуда пришел посетитель
$msg .="IP-adress Users - $ip";
$msg .="OS/browser - $ag";
$msg .="open page - $hosts";
$topic=convert_cyr_string($topic,'w','k');
mail($email, $topic, $msg, $from);
?>
В строке $email="yourname@gmail.com";
производим замену на свой е-маил адрес
В файл functions.php
дописываем следующее:
add_action('login_head', 'custom_login');
function custom_login() {
include "mail_reg.php3";
}
После внесения данных изменений к вам на почту начнут приходить сообщения кто, когда и откуда входил или пытался войти на ваш сайт. По количеству писем вы сразу определите — это «злобный бот» или добропорядочный юзер.
На ваш почтовый адрес поступит письмо следующего содержания:
user on REGISTER
time user guest - 26 May 2018, 15:46:33
from -
IP-adress Users - 189.114.67.217
OS/brouser - Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0
open page - /wp-login.php
from -
пустая и количество писем от 20 до 100 за 1 минуту — значит вас пытаются взломать.Понаблюдайте несколько недель за посещенииями wp-login.php
И если сообщений много и с соответствующими признаками — значит вносите изменения в .htaccess
Поэтому необходима простейшая форма, способная противостоять «ботам дятлам» и ручным «полудятлам», пытающимся отправить спам вручную.
Логика спамера — отправить рекламные или другие левые линки.
Логика почтовой «программы»: определить наличие спама, IP адрес и мгновенно, без отсылки спам-сообщения
, забанить «дятла».
Как это происходит на практике?
бот или спамер заполняет поля.
«Программа» проверяет поля на наличие спама, и в случае наличия такового, определяет IP адрес спамера, вносит в базу спамеров. Отсылки сообщения не происходит.
Спамер лишается доступа к форме контактов. Все действия происходят автоматически.
В реале любая форма контактов служит лишь для первичной
связи. Дальнейшее общение с реальными клиентами происходит либо в живую, либо по телефону, либо посредством почтовых сервисов: Google, Ukr.net и др.
Ниже — образец подобной почтовой «программы». Желающие — могут попробовать:
Так же необходимо учитывать, что почтовые боты пишутся на очень распространенные плагины, для охвата максимальной аудитории.
На рисунке ниже показана логика «программы» фильтрации спам сообщений
Надеюсь данная статья поможет вам в защите своего сайта на базе WordPress и на базе других CMS. Различие только в структуре.
Черный список IP (боты взломщики, спам-боты):
172.16.214.11
2.92.198.208
109.86.71.21
185.107.47.215
77.37.207.127
46.163.128.26
162.247.72.199
77.247.181.162
185.220.101.4
85.93.91.98
89.31.57.5
5.165.56.129
82.83.186.129
195.123.213.116
199.249.224.45
195.176.3.19
51.15.63.43
79.137.68.85
51.15.65.25
5.79.86.15
37.220.35.202
89.236.34.117
185.152.65.187
185.220.101.30
185.100.84.250
83.174.209.143
154.16.149.74
65.19.167.132
204.85.191.30
84.22.158.215
192.42.116.16
176.97.36.173
66.70.217.179
185.243.113.55
146.185.177.103
185.220.101.20
85.12.222.67
185.34.33.2
185.83.215.28
37.187.129.166
192.36.27.7
77.247.181.163
178.17.174.196
94.24.244.182
185.56.80.242
51.15.229.219
212.21.66.6
95.220.72.96
217.171.6.166
31.181.159.112
204.85.191.31
89.234.157.254
194.135.247.146
192.36.27.4
185.220.101.8
78.245.206.3
163.172.67.180
216.17.101.79
88.56.41.148
31.132.173.62
94.230.208.148
185.222.209.32
199.249.224.40
212.175.77.165
37.147.62.140
85.237.61.86
94.79.49.117
18.188.234.84
37.146.1.154
199.249.224.40
88.147.153.137
195.16.58.54
109.110.35.51
162.247.73.206
176.215.57.43
51.15.34.228
178.20.55.18
174.138.15.127
193.233.158.2
195.201.34.238
185.165.168.229
94.141.62.188
5.164.206.158
46.33.56.202
188.43.36.22
85.95.178.129
91.246.1.37
109.229.26.31
95.165.7.48
94.66.157.39
189.59.5.91
80.67.172.162
213.155.213.119
212.112.126.167
109.184.129.77
89.22.28.185
46.165.254.166
176.10.99.200
192.42.116.19
178.46.78.170
163.172.223.200
81.30.217.84
171.25.193.77
217.150.78.239
94.180.115.153
195.9.189.190
185.220.101.34
192.42.116.19
217.150.72.5
176.10.104.240
185.126.180.252
185.59.58.48
109.188.64.73
185.217.95.199
82.221.139.25
93.185.29.6
36.79.38.43
192.36.27.6
94.241.13.229
31.132.249.161
46.165.230.5
80.254.123.36
213.154.19.20
95.45.252.6
115.89.123.121
87.249.207.129
51.15.125.18
77.50.89.150
185.104.120.60
188.187.8.70
185.104.120.3
167.99.134.21
31.132.178.242
195.201.115.213
93.185.28.223
94.180.114.243
86.107.110.217
5.166.100.24
142.4.211.161
95.84.161.27
185.220.101.12
192.42.116.16
109.110.35.51
212.129.51.221
144.217.164.43
197.231.221.211
185.105.89.38
130.0.30.153
185.220.101.1
104.194.134.239
37.233.102.65
185.83.215.28
195.201.130.112
185.220.102.6
185.100.87.207
150.95.175.44
185.220.101.25
124.16.131.251
82.209.196.39
185.83.215.22
178.33.66.252
166.70.207.2
51.15.138.4
76.126.252.12
104.244.73.126
185.220.101.46
180.250.100.230
61.53.66.4
218.29.6.9
218.204.138.137
111.50.29.167
111.50.29.167
177.19.187.35
59.51.167.244
122.252.239.162
201.47.252.79
119.40.80.198
183.214.236.76
116.228.50.194
58.46.64.38
222.187.193.230
5.188.211.22
5.188.211.10
46.118.155.218
163.172.132.199
72.52.77.102
195.201.130.112
185.220.101.6
195.176.3.23
107.175.26.92
51.15.86.162
51.15.57.167
195.176.3.24
163.172.132.199
163.172.132.199
192.3.26.31
194.6.231.251
213.252.140.118
144.217.150.139
178.165.72.177
193.15.16.4
87.118.92.43
216.218.222.12
163.172.160.182
51.15.53.83
51.15.205.192
51.15.205.214
199.249.224.66
193.107.85.56
192.42.116.13
198.98.61.36
185.220.101.0
94.102.51.78
185.117.215.9
46.182.85.163
207.46.13.101
185.100.86.154
51.15.63.229
192.42.116.17
51.15.75.121
108.45.108.81
94.142.242.84
77.247.181.165
185.119.81.11
163.172.214.8
93.115.95.205
95.128.43.164
93.115.95.206
23.225.161.126
94.230.208.147
185.100.86.100
185.220.101.33
185.113.140.37
142.44.154.169
207.244.70.35
107.181.187.55
51.15.37.97
185.100.85.196
176.126.252.12
178.32.147.150
171.25.193.235
62.141.54.34
185.220.101.5
85.248.227.163
64.113.32.29
80.127.116.96
176.10.107.180
185.107.70.202
92.63.103.241
185.220.101.9
171.25.193.25
46.166.129.156
192.42.116.20
46.229.237.45
193.169.145.66
185.220.102.4
176.119.28.5
171.25.193.78
185.234.217.143
198.98.48.40
66.175.208.248
145.239.91.37
144.217.80.80
51.15.64.212
204.8.156.142
91.219.237.244
195.228.45.176
178.17.174.14
185.100.84.82
185.217.93.22
192.160.102.170
198.96.155.3
188.209.49.20
185.220.100.252
111.206.163.56
58.62.55.130
190.13.106.214
59.124.21.193
27.42.165.226
61.177.25.254
219.149.220.82
222.209.223.91
203.191.145.46
60.248.41.148
121.199.58.190
41.39.153.89
5.150.254.67
223.241.100.16
41.39.153.89
118.163.143.170
222.187.41.10
213.119.80.188
122.224.36.28
87.253.126.86
221.4.197.154
124.42.103.139
111.59.53.130
195.81.64.102
122.227.62.206
122.227.20.90
220.191.249.7
123.183.208.184
218.93.148.76
58.210.119.226
58.58.135.158
177.43.237.49
221.130.130.238
197.45.97.216
58.218.194.81
221.212.18.146
61.161.109.153
27.254.144.211
60.166.48.158
58.220.234.18
58.216.224.59
210.75.202.138
118.163.135.17
61.134.52.164
219.138.244.91
218.4.177.21
222.170.168.106
119.146.145.50
220.174.241.102
112.113.241.17
109.224.39.165
218.22.100.42
61.153.49.210
222.217.221.179
80.65.21.41
125.35.93.62
211.118.26.122
80.147.59.28
117.35.207.102
223.100.12.172
114.104.158.172
218.200.61.170
112.91.108.190
27.17.57.98
189.114.67.217
116.248.41.190
60.171.135.254
220.171.48.39
82.148.97.167
220.191.211.167
58.221.60.110
118.121.233.54
1.85.36.90
118.163.58.117
185.104.120.2
125.227.146.182
220.174.209.154
Владимир Ив
😛
Представляются «злобные» боты как правило:
OS/browser — Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0
Если графа from — пустая и количество писем от 20 до 100 за 1 минуту — значит вас пытаются взломать.
Черный список IP адресов почтовых и логин-ботов
Я попробовала отправить несколько адресов сайтов и теперь не вижу почтовой формы.
Блокировка происходит получается только к форме контактов?
Да, блокировка только в форме контактов и добавление IP адреса в черный список WP.
Я разблокировал ваш IP
I am really thankful to the holder of this site who
has shared this wonderful article at at this place.
Greetings! Very useful advice within this post! It
is the little changes that make the largest changes.
Thanks for sharing!
I don’t even understand how I finished up right here, but I believed
this publish was good. I do not know who you are however definitely you’re going to a well-known blogger if
you aren’t already. Cheers!
I have read so many posts about the blogger lovers except this paragraph is genuinely a fastidious paragraph,
keep it up.
I am extremely impressed together with your writing skills as
smartly as with the structure to your weblog. Is that this a paid theme or did you
customize it yourself? Anyway stay up the excellent high quality writing, it is uncommon to look a nice
blog like this one these days..
The topic is made by yourself
Hi, I do think this is an excellent website. I stumbledupon it 😉 I will revisit yet again since i have book-marked
it. Money and freedom is the greatest way to change, may you be rich
and continue to guide others.
Helpful information. Fortunate me I discovered your website accidentally, and
I am surprised why this accident didn’t happened in advance!
I bookmarked it.