Obrigado nervosa pelos ponteiros.
Aqui estão alguns plugins do Wordpress que bloquearão os endereços IP após várias tentativas de login com falha:
Como eu tinha um monte de sites do Wordpress e queria parar os ataques rapidamente, eu não queria instalar os plugins em todos os lugares ... Aqui está o que acabei fazendo:
- Instalado Apache mod_security usando as instruções em Como instalar o mod_security no Ubuntu 12.04 - como o nerv disse, mod_security é um módulo do Apache que ajuda a prevenir ataques como isso, e faz um monte de outras coisas legais de segurança.
Eu segui as instruções do artigo acima para instalar o conjunto de regras padrão.
- Encontrei meu endereço IP da minha rede doméstica digitando " Qual é o meu endereço IP " no Google.
- Adicionei as seguintes regras ao meu arquivo /etc/modsecurity/modsecurity.conf:
# site configuration
# allow all access from home
SecRule REMOTE_ADDR "^1.2.3.4" phase:1,nolog,allow,ctl:ruleEngine=off
# deny all access to wp-login to prevent wordpress botnet attacks
SecRule REQUEST_URI "@rx (.*)wp-login.php(.*)" deny,nolog
- substituí o 1.2.3.4 pelo meu endereço IP residencial. (Você pode ter várias linhas
assim, se você acessar seu site WordPress a partir de vários endereços IP, mas
Eu não precisei disso.)
- reiniciei o Apache:
$ sudo /etc/init.d/apache2 restart
Foi isso - parou o ataque da botnet. Verifiquei meus logs do Apache para ver que, em vez de códigos de sucesso (200), havia códigos de erro 403 sendo retornados para as solicitações de botnets.
Eventualmente, o botnet desistiu e parou as tentativas do POST.
Provavelmente vou voltar e instalar um desses dois plugins mais tarde, quando tiver tempo.