Um dos meus sites foi invadido recentemente. Para resumir, eu tinha uma versão antiga dos boletins de notícias wisiya rodando que era usada para fazer upload de alguns arquivos no diretório wp-content. Desde então, muitas coisas mudaram em relação à segurança deste domínio.
Entre outras coisas, eu implementei um bloqueio mundial para o wp-login.php via .htaccess da seguinte forma:
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from my.own.static.ip.adress
</Files>
Eu comparei os logs de acesso de antes e depois da implementação dessa mudança e fiquei satisfeito com os resultados. Todas as tentativas de acesso não autorizadas foram bloqueadas com uma resposta 403.
Até hoje .... A Sucuri me informou por e-mail que alguém deve ter acessado o formulário de login e enviou uma única solicitação de login ao servidor.
IP Address: 192.96.204.237
Notification:
User authentication failed: admin
Isso foi depois que eu mudei o arquivo .htaccess ... Como ainda sou relativamente novo no apache e na segurança em geral, alguém pode me explicar como isso é possível?
Atenciosamente, Michael
É possível que exista alguma diretiva Allow em algum lugar que esteja causando o acesso. Tente ativar o mod_info e acessar a página mod_info e fazer uma busca sem distinção entre maiúsculas e minúsculas para todas as instâncias de "allow" (sem aspas) para ver se há diretivas que poderiam estar fazendo isso.