Есть такая тема для дискуссий — что больше подвержено атакам, xmlrpc.php
или wp-login.php
. Ответ — оба хуже.
Если нет особых обстоятельств, требующих именно этих точек входа и именно в таком виде, на все запросы к ним сервер должен отвечать или 403, или 404, или 301, в зависимости от ваших предпочтений и взглядов на SEO
.
Большинство обстоятельств, требующих наличия именно этих точек входа, тоже можно преодолеть. Например, знаменитый JetPack
от Automattic
, без которого сегодня мало кто обходится, не удастся активизировать без открытого xmlrpc
. Но прелесть в том, что после активации его можно насовсем отключить, а JetPack
будет продолжать работать.
Отключение стандартных точек входа сразу отсечет абсолютное большинство попыток брутфорса, логи станут чище, жизнь спокойнее.
А как же входить? Смотря кому. Сотрудникам (авторам, редакторам, администраторам) — через служебный вход. Всем остальным (посетителям, подписчикам, клиентам) — в специально для них организованные, красиво оформленные парадные входы, вестибюли, торговые и конференц-залы, кабинеты, откуда нет доступа никуда больше. Все для клиента, кроме того, что не для него.
Оригинал: VK.com