16/03/2026
🚨 Studiu de Caz: Cum am oprit un atac masiv de tip Brute-Force și am salvat resursele serverului 🛡️
Zilele trecute, în timpul monitorizării de rutină a unui site WordPress pe care îl gestionăm, am observat o activitate suspectă: o avalanșă de încercări de autentificare eșuate. Boții încercau să spargă site-ul folosind atacuri de tip Brute-Force, testând parole pentru useri inexistenți precum admin sau soteldo.
Deși aveam instalat Wordfence (un firewall la nivel de aplicație) care își făcea treaba excelent și bloca sute de IP-uri malițioase (majoritatea din Iran), exista o problemă arhitecturală de care mulți proprietari de site-uri uită: resursele serverului.
Chiar dacă atacul era blocat, fiecare cerere ajungea la serverul nostru, activa PHP-ul și interoga baza de date MySQL. Rezultatul? Un consum inutil de CPU și RAM.
Iată pașii exacți pe care i-am implementat pentru a muta prima linie de apărare în afara serverului și a rezolva problema definitiv:
1️⃣ Analiza traficului (Wordfence)
Am folosit logurile din Wordfence pentru a identifica tiparul atacului. Am observat că 99% din traficul de tip spam provenea din regiuni cu care afacerea nu avea interacțiuni comerciale.
2️⃣ Implementarea Cloudflare WAF (Web Application Firewall)
Pentru a opri boții înainte ca aceștia să ne atingă serverul fizic, am configurat reguli personalizate (Custom Rules) în Cloudflare:
🌍 Geo-blocking: Am blocat complet accesul țărilor sursă ale atacului direct din Cloudflare (Action: Block).
🔐 Protecția paginii de login: Am adăugat un filtru pentru orice cerere către wp-login.php. Am setat acțiunea pe "Managed Challenge". Boții nu pot trece de această verificare invizibilă a browserului, în timp ce administratorii reali se pot loga fără probleme.
3️⃣ Blocarea vulnerabilităților clasice (XML-RPC)
Fișierul xmlrpc.php este una dintre cele mai exploatate ținte din WordPress. Deoarece site-ul nu folosea aplicația mobilă WP sau Jetpack, am blocat complet accesul la acest fișier (tot din Cloudflare WAF, printr-o regulă URI Path).
4️⃣ Sincronizarea IP-urilor (Configurare finală)
Pentru ca Wordfence să nu blocheze din greșeală serverele Cloudflare, l-am reconfigurat să citească IP-urile reale ale vizitatorilor folosind header-ul HTTP CF-Connecting-IP.
📈 Rezultatul?
Traficul malițios a scăzut la zero la nivel de server. Resursele de procesare au fost eliberate, site-ul se încarcă mult mai rapid pentru clienții reali, iar securitatea este acum stratificată (Edge Network + Server Level + Application Level).
💡 Concluzia: Securitatea web nu înseamnă doar instalarea unui plugin. Înseamnă o arhitectură corectă a serverului și filtrarea inteligentă a traficului.
La AIAS, construim și gestionăm proiecte web care nu sunt doar rapide și moderne, ci și securizate la standarde înalte. Dacă ai un site lent sau suspectezi că este vulnerabil, lasă un comentariu sau dă-mi un mesaj pentru un audit! 🚀