Bloqueando ataques

Hace ya unos meses algún spammer consiguió entrar en una de las webs que administro y publicar sus cosas.

Evidentemente me molestó mucho, primero porque es algo éticamente repugnante, y segundo porque nadie entra en mi casa sin mi permiso, me sentía con el orgullo magullado.

Lo primero que hicimos la persona que controla la página, un buen amigo, y yo es borrar el usuario que creíamos comprometido, así, sin paliativos. También eliminamos todas las entradas comprometidas.

Después de eso empece mi respuesta qué básicamente consistió en habilitar un registro de actividad en el WordPress y unas reglas en el .htaccess para bloquear a los indeseables.

Una de las cosas que añadí al .htaccess es un bloqueo de logins y comentarios automáticos:

# Stop spam attack logins and comments
<IfModule mod_rewrite.c>
 RewriteEngine On
 RewriteCond %{REQUEST_METHOD} POST
 RewriteCond %{REQUEST_URI} .*(wp-comments-post|wp-login)\.php*
 RewriteCond %{HTTP_REFERER} !.*lab.fawno.com.* [OR]
 RewriteCond %{HTTP_USER_AGENT} ^$
 RewriteRule .* https://%{HTTP_HOST}/ [R=301,L]
</IfModule>

No es mucha protección, lo sé, pero dificulta las cosas y según qué bots emplee el atacante tendrá que detectar el fallo y obrar en consecuencia, con lo que a mi me da un ratico para hacer más cosas… como bloquear totalmente los intentos de login desde las ip’s comprometidas:

# Stop brute force attack logins
<Files wp-login.php>
 ErrorDocument 403 https://google.com/
 Order allow,deny
 Allow from all
 Deny from 118.172.176.61
</Files>

Podría haber bloqueado completamente las ip’s desde donde detectaba los ataques, pero es suficiente con que no puedan acceder al sitio. Además, una vez que eliminamos la posibilidad de hacer login, eliminamos la cuenta comprometida, todo lo que quedaba era defendernos de los ataques de fuerza bruta, y eso es lo que estamos haciendo con muy buen resultado.

A día de hoy tengo del orden de 140 160 ip’s registradas en el filtro, lo cual es un claro indicador de que no es un problema baladí. Aún recibo de vez en cuando algún intento de login, pero ya no son intentos continuos durante todo el día, si acaso un par de intentos cada cierto tiempo, que quedan convenientemente registrados y luego añado a la lista de bloqueos.