In urma nu cu mult timp, am avut unele probleme cu gazduirea, in sensul ca nu imi puteam accesa blogurile WordPress. Ceva imi tot bana IP-ul pe acolo, deoarece orice alt site functiona fara probleme. Am avut destule discutii cu baietii care imi gazduiesc blogul, deoarece lucrul asta s-a intamplat pe parcursul mai multor zile.
Le-am facut video, le-am dat acces in laptop sa vada ca nu este de la mine si ca orice altceva se incarca, doar site-urile mele nu, semn ca filtrele lor anti-DDoS sau nu stiu ce reguli au pus ei prin firewall, imi interziceau accesul pe bloguri. Este aiurea sa te conectezi prin VPN pe propriul site, mai ales ca poate fi o cale destul de nesigura de a face asta.
Tot atunci, cand baietii de la hosting lucrau sa vada de ce nu-mi pot accesa blogurile, mi-au sters din .htaccess regulile puse de mine pentru a restrictiona accesul pe WordPress login si pe XML-RPC, plus inca vreo cateva reguli, in ideea de a preveni tentativele de brute-force si pentru a securiza blogul. Brute-force, adica incercarea de a ghici datele de logare pe blog, prin apelarea la liste uriase de cuvinte.
Am observat asta ieri, cand pur si simplu in CPanel, la “Latest Visitors” apareau enorm de multe IP-uri din clase diferite, care incercau sa faca brute-force pe login si pe XML-RPC. Nu am vazut niciodata atat de multe tentative de a accesa neautorizat blogul, de pe atat de multe IP-uri, semn ca sunt folosite retele mari de calculatoare infectate (botnet).
Am adaugat imediat regulile la loc, nu ca ar avea tentativele de a-mi afla parola prea mult succes, ea fiind una foarte lunga, ci pentru a incerca sa mai reduc din acele vizite nedorite, care iti incarca in mod gratuit site-ul. Chiar daca am facut asta, “Latest Visitors” si “Error log” inca sunt pline de IP-uri care inca fac acelasi lucru.
Daca multi dintre voi stiti ca trebuie sa puneti restrictie pe wp-login.php, pentru a opri tentativele de brute-force, foarte putini stiu ca ar trebui sa realizeze acest lucru si cu xmlrpc.php, deoarece mai mult ca sigur cei mai multi dintre voi care detineti blog nu aveti nevoie de acea functie.
Asta in caz ca nu folositi vreun program de accesare WordPress remote, intelegand si faptul ca daca utilizati pluginul WP Jetpack, acesta s-ar putea sa nu mai functioneze.
In rest, nu aveti nevoie de xmlrpc.php, asa ca puteti opri accesarea lui, la fel ca si in cazul wp-login.php, adaugand urmatoarele linii in .htaccess:
Pentru a nu putea fi accesat de nimeni, inclusiv de voi:
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Pentru a nu putea fi accesat de nimeni, in afara de voi:
<Files xmlrpc.php>
order deny,allow
deny from all
allow from IP-ul tau
</Files>
Sper sa va fie de folos aceste sfaturi, pentru a avea un blog cat mai ferit de astfel de lucruri.