WordPress: bloccare site.ru e baidu.com (spam referer)

| |

Da qualche tempo ormai, un paio di referer vengono utilizzati per tentare di verificare se esistono vulnerabilità all’interno dei WordPress in giro per il web (questo che leggi compreso), il che comincia a diventare abbastanza fastidioso. Si tratta ovviamente di movimenti eseguiti da bot che non fanno altro durante l’arco della giornata, ma che continuano a generare righe di log che ovviamente si notano lato server, cose che tu stesso in teoria potresti notare (se hai accesso ai log del tuo hosting), oppure utilizzando plugin come Redirection.

WordPress: bloccare site.ru e baidu.com (spam referer)

Non ho scoperto l’acqua calda certamente, c’è chi se n’è accorto da tempo (dai un’occhiata qui, oppure qui) e chi ha già fatto qualcosa in merito per impedire ulteriori accessi da quel tipo di referer HTTP. Ah già, a tal proposito, dovesse sfuggirti di che diamine sto parlando, propongo:

Il referer (o HTTP referer) è semplicemente l’URL di un elemento che conduce all’elemento corrente: ad esempio, il referer di una pagina HTML può essere un’altra pagina HTML. In sostanza, esso rappresenta la fonte dalla quale un utente è venuto a conoscenza di una pagina. Il referer è parte integrante di una request HTTP inviata dal browser al webserver.

continua qui: it.wikipedia.org/wiki/Referer

Detto ciò, quello che puoi fare –nel caso in cui tu sia protagonista della stessa scocciatura– è mettere mano al tuo file .htaccess e prevedere l’esclusione dei referer di cui puoi fare tranquillamente a meno. Io in lista ti propongo anche baidu.com,

Baidu (百度=Bǎidù) è il principale motore di ricerca in lingua cinese in grado di ricercare siti web, file audio e immagini e secondo il sito Netmarketshare.com a novembre 2016 è il 3° motore di ricerca al mondo con un 7,54% di share dopo Bing che deteneva nello stesso periodo l’8,28%.

continua qui: it.wikipedia.org/wiki/Baidu

il quale compare in diverse righe di errore 404 perché tenta strani accessi o inclusioni di file non propriamente standard, motivo per il quale c’è quella ragionevole certezza che si tratti di un ulteriore attacco bot (spero mi perdoneranno gli amici cinesi che intendono utilizzare realmente il loro motore di ricerca preferito per arrivare a qualche mio articolo, ammesso che quegli amici esistano realmente, e che –soprattutto– vogliano leggere un mio articolo!).

Modifica del file .htaccess

Come già saprai, il file .htaccess si trova nella cartella principale del tuo WordPress e viene generalmente gestito da quest’ultimo o dai plugin installati (per esempio, quelli di sicurezza), occhio quindi a dove metti le mani. Apri il file in modifica e individua un “posto tranquillo” in cui depositare il nuovo codice, puoi copiare quanto di seguito e incollarlo subito prima della riga di commento “# END WordPress” che dovresti trovare intorno alla fine del file:

<IfModule mod_rewrite.c>
 RewriteEngine On
 RewriteCond %{HTTP_REFERER} site\.ru [NC,OR]
 RewriteCond %{HTTP_REFERER} www\.baidu\.com [NC]
 RewriteRule ^.* - [F]
</IfModule>

Salvando il file, dopo poco tempo dovresti già notare molta più pulizia all’interno dei tuoi log (e degli errori 404), con buona pace del tuo WordPress e delle molteplici volte che non sarà più costretto a rispondere negativamente ai tentativi di attacco, dai quali sta bene anche a debita distanza.

In alternativa

Beh, in alternativa si potrebbe passare da un diverso metodo, basato su IP o su regole di Redirection (il plugin di cui ti parlavo a inizio articolo, nda). Per la prima alternativa citata, qualcuno sta già facendo un buon lavoro di raccolta IP dai quali generalmente partono gli attacchi di site.ru, la trovi su GitHub all’indirizzo github.com/rogercomply/siteru-blocklist/blob/master/ipblocklist, e viene continuamente aggiornata (considera che -a ora che sto scrivendo l’articolo- l’ultimo aggiornamento riporta la data di due giorni fa).

Potresti pensare di copiare quegli IP e includerli all’interno della ban list di iThemes Security (altro plugin di cui ti ho parlato in passato), ricordando di tanto in tanto di passare a copiare e incollare la lista aggiornata.

La seconda alternativa passa invece da redirect di tipo 301, consegnando i bot su pagine alle quali chiedere perdono. Ho pensato quindi di rispolverare la vecchia storia del rilancio “stile proxy” verso siti web che possono dare la redenzione, come radiomaria.it.

Inaugurando un nuovo gruppo di filtri di Redirection chiamato “Strunz Interceptor” (poetico, lo so!), ho pensato di prevedere alcuni degli attacchi più classici e ripetitivi, rimbalzandoli verso la home page di Radio Maria. Ho raccolto quei filtri in un file CSV che puoi tranquillamente salvare e importare all’interno del tuo WordPress con Redirection installato. Ho salvato il tutto su Gist, così da poterlo aggiornare agilmente in futuro nel caso ce ne fosse bisogno:

source target regex type code match hits title
/wp-includes/js/crop/config.php https://www.radiomaria.it/ 0 url 301 url 0
/wp-caches.php https://www.radiomaria.it/ 0 url 301 url 0
/wp-content/plugins/google-sitemap-generator/.move2.php https://www.radiomaria.it/ 0 url 301 url 0
/wp-includes/js/crop/systems.php https://www.radiomaria.it/ 0 url 301 url 0
/wp-content/plugins/wpwhatsmyrankvideoregular-unlimited/php-ofc-library/ofc_upload_image.php https://www.radiomaria.it/ 0 url 301 url 0
/wp-content/themes/evolve/js/back-end/libraries/fileuploader/upload_handler.php https://www.radiomaria.it/ 0 url 301 url 0
/wp-includes/js/crop/bacot.php https://www.radiomaria.it/ 0 url 301 url 0
/wp-content/uploads/accesson.php https://www.radiomaria.it/ 0 url 301 url 0
/kickstart.php https://www.radiomaria.it/ 0 url 301 url 0
/wp-content/plugins/delete-all-comments/backup/accesson.php https://www.radiomaria.it/ 0 url 301 url 0
/wp-includes/js/crop/bacot.php https://www.radiomaria.it/ 0 url 301 url 0
/wp-content/plugins/delete-all-comments/delete-all-comments.php https://www.radiomaria.it/ 0 url 301 url 0
/plugins/community/uploadify/uploadify.css https://www.radiomaria.it/ 0 url 301 url 0
/wp-content/plugins/acf-frontend-display/js/blueimp-jQuery-File-Upload-d45deb1/js/main.js https://www.radiomaria.it 0 url 301 url 0
/KlfhsYYs https://www.radiomaria.it/ 0 url 301 url 0
/wp-content/themes/u-design/scripts/admin/uploadify/uploadify.php https://www.radiomaria.it/ 0 url 301 url 0
/wp-content/uploader.php https://www.radiomaria.it 0 url 301 url 0
/bitrix/admin/?lang=en https://www.radiomaria.it 0 url 301 url 0
/wp-content/plugins/fluid_forms/file-upload/server/php/ https://www.radiomaria.it 0 url 301 url 0
/jquery-file-upload/server/php/ https://www.radiomaria.it 0 url 301 url 0
/wp-content/plugins/easyrotator-for-wordpress/cache.php.suspected https://www.radiomaria.it 0 url 301 url 0
/game.php https://www.radiomaria.it 0 url 301 url 0
/upload/_dispatch.php https://www.radiomaria.it 0 url 301 url 0
/wp-backup.php https://www.radiomaria.it 0 url 301 url 0
/code.php https://www.radiomaria.it 0 url 301 url 0
/.wp-config.php https://www.radiomaria.it 0 url 301 url 0
/server/php/ https://www.radiomaria.it 0 url 301 url 0
/up.php https://www.radiomaria.it 0 url 301 url 0
/s.w.org https://www.radiomaria.it 0 url 301 url 0
/wp-content/plugins/three-column-screen-layout/db.php https://www.radiomaria.it 0 url 301 url 0
/wp-updats.php https://www.radiomaria.it 0 url 301 url 0
/wp-content/plugins/apikey/ini.php https://www.radiomaria.it 0 url 301 url 0
/wp-content/plugins/linklove/linklove.php?s https://www.radiomaria.it 0 url 301 url 0
/license.php https://www.radiomaria.it 0 url 301 url 0
/.ftpconfig https://www.radiomaria.it 0 url 301 url 0
/w2.php https://www.radiomaria.it 0 url 301 url 0
/wp-content/plugins/easyrotator-for-wordpress/indox.php https://www.radiomaria.it 0 url 301 url 0
/wp-press.php https://www.radiomaria.it 0 url 301 url 0
/wp-apps.php https://www.radiomaria.it 0 url 301 url 0
/wp-content/plugins/linklove/linklove.php https://www.radiomaria.it 0 url 301 url 0
/wp-info.php https://www.radiomaria.it 0 url 301 url 0
/text.php https://www.radiomaria.it 0 url 301 url 0
/systems.php https://www.radiomaria.it 0 url 301 url 0
/wp-content/plugins/revslider/admin/assets/imports/web-product-light-hero-3d/pouimeq.php https://www.radiomaria.it 0 url 301 url 0
/w.php https://www.radiomaria.it 0 url 301 url 0
/wp-content/plugins/easyrotator-for-wordpress/wj.php https://www.radiomaria.it 0 url 301 url 0
/wp-content/plugins/whatsmyrank-devenc/php-ofc-library/ofc_upload_image.php https://www.radiomaria.it 0 url 301 url 0
/upload/server/php/ https://www.radiomaria.it 0 url 301 url 0

Sentiti assolutamente libero di segnalarne di nuovi all’interno dei commenti di questo articolo o direttamente sotto al file Gist.

Correzioni, suggerimenti? Lascia un commento nell'apposita area qui di seguito o contattami privatamente.
Ti è piaciuto l'articolo? Offrimi un caffè! ☕ :-)

L'articolo potrebbe non essere aggiornato

Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)

Condividi l'articolo con i tuoi contatti:
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Commenti
Oldest
Newest Most Voted
Inline Feedbacks
View all comments