Servidores dedicados e VPS de 4ª geração
Servidores dedicados e VPS de 3ª geração

GoDaddy Ajuda

Tentamos traduzir esta página para você. A página em inglês também está disponível.

Ataques comuns do WordPress

Existem dois arquivos comumente usados para ataques de força bruta do WordPress: xmlrpc.php e wp-login.php. Este artigo detalha como encontrar evidências de um ataque.

Ataques em xmlrpc.php

O que é XML-RPC?

XML-RPC (xmlrpc.php) permite atualizações remotas para o WordPress de outros aplicativos. Isso não é mais necessário com as versões atuais do WordPress e deixá-lo habilitado deixa seu site vulnerável. É comum encontrar ataques de força bruta usando esse arquivo.

Como posso saber se estou sendo atacado?

Se você encontrar várias tentativas de acesso do mesmo IP em um curto período de tempo, isso pode indicar um ataque.

No exemplo abaixo, o IP 12.34.56.789 tentou acessar a página xmlrpc.php várias vezes de uma vez ( 10 / Set / 2022: 05: 12: 02 ):

acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Set / 2022: 05: 12: 02 -0700] "POST //xmlrpc.php HTTP / 1.1" 200 438 "-" "Mozilla / 5.0 (Windows NT 10.0 ; Win64; x64) AppleWebKit / 537.36 (KHTML, como o Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Set / 2022: 05: 12: 02 -0700]" POST //xmlrpc.php HTTP / 1.1 "200 438" - "" Mozilla / 5.0 (Windows NT 10.0; Win64; x64) AppleWebKit / 537.36 (KHTML, como Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com- ssl_log: 12.34.56.789 - - [10 / Set / 2022: 05: 12: 02 -0700] "POST //xmlrpc.php HTTP / 1.1" 200 438 "-" "Mozilla / 5.0 (Windows NT 10.0; Win64; x64 ) AppleWebKit / 537.36 (KHTML, like Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Set / 2022: 05: 12: 02 -0700]" POST // xmlrpc .php HTTP / 1.1 "200 438" - "" Mozilla / 5.0 (Windows NT 10.0; Win64; x64) AppleWebKit / 537.36 (KHTML, como o Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "

Ataques em wp-login.php (wp-admin).

Os invasores geralmente usam bots que tentam dezenas, senão centenas de conexões de uma vez para obter acesso ao seu painel wp-admin.

Como posso saber se estou sendo atacado?

Se você encontrar várias tentativas de acesso do mesmo IP em um curto período de tempo, isso pode indicar um ataque. Usuários autorizados com problemas para se lembrar de suas senhas geralmente mostram alguns minutos entre as tentativas.

No exemplo abaixo, o IP 12.34.56.789 tentou acessar a página wp-login.php várias vezes de uma vez ( 10 / Set / 2022: 08: 39: 15 ):

acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Set / 2022: 08: 39: 15 -0700] "POST /wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0 (Windows NT 6.3; Win64; x64) AppleWebKit / 537.36 (KHTML, como o Gecko) Chrome / 103.0.0.0 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Set / 2022: 08:39:15 -0700] "POST /wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0 (Windows NT 6.3; Win64; x64) AppleWebKit / 537.36 (KHTML, como o Gecko) Chrome / 103.0.0.0 Safari / 537.36 "acoolexample.com-ssl_log: 12.34.56.789 - - [10 / Set / 2022: 08:39:15 -0700] "POST /wp-login.php HTTP / 1.1" 200 70760 "https://www.acoolexample.com/wp-login.php "" Mozilla / 5.0 (Windows NT 6.3; Win64; x64) AppleWebKit / 537.36 (KHTML, como o Gecko) Chrome / 103.0.0.0 Safari / 537.36 "

Próximas etapas

  • Verifique a propriedade do IP usando uma pesquisa Whois. Se o IP for da China e você não tiver clientes / visitantes da China, ele pode ser malicioso. Se o IP pertencer a (por exemplo) Cloudflare, é improvável que seja malicioso.
  • Bloqueie o ataque.