Как защититься от атак ботов на WordPress-сайты

Ориентировочно со 2 августа наблюдается массовая атака на сайты построенные на движках WordPress (по некоторым данным также атакуются сайты на Joomla, DLE). Злоумышленники с помощью большого ботнета пытаются подобрать пароли к админкам с помощью брутфорса. Некоторые серверы не выдерживают нагрузки.

Хостеры принимают различные меры по фильтрации ботов.

WordPress предлагает свои варианты решения: codex.wordpress.org/Brute_Force_Attacks

Я предлагаю свои варианты решения:

- рекомендую максимально защитить административные части своих CMS, а именно - установить пароль на папку административной части, установить в .htaccess ограничения доступа по IP, сменить имя пользователя admin на любое другое, сменить пароль на максимально сложный и не словарный, принять любые другие меры безопасности на Ваше усмотрение. Обязательно обновите версию WordPress до последней, установите плагин: Better WP Security, ограничьте доступ к файлу wp-login.php, либо разрешите вход в wp-login.php только с вашего IP-адреса.

Ограничить доступ к wp-login.php только с 1 IP адреса.

в .htaccess пропишите:

<Files wp-login.php>
Deny from all
Allow from xx.xx.xx.xx
</Files>

где xx - ваш ip, который показывается на сайтах вроде 2ip.ru.

Закрыть полностью обращение к wp-login.php от всех.

в .htaccess пропишите:

<Files wp-login.php>
Deny from all
</Files>

Обращаю Ваше внимание, что взломанные сайты могут быть использованы в незаконных целях, для рассылки СПАМа, для размещения фишингового контента и прочего. Как вариант следует убедиться, что админский пароль к сайту устойчив для подбора.