Avui m'he trobat amb un atac de força bruta per accedir a la administració d'un Wordpress. L'atacant estava enviant repetidament peticions POST a /wp-login per tal d'accedir a la administració.

Com el Wordpress en questió està sota l'accelerador d'aplicacions web Varnish Cache, per bloquejar l'atac ha calgut feta una petita configuració a Varnish Cache.

vi /etc/varnish/default.conf


# Forbidden IP ACL
acl forbidden {
"XXX.XXX.XXX.XXX"/32;
}
...
# This function is used when a request is send by a HTTP client (Browser)
sub vcl_recv {
# Block the forbidden IP addresse
if (client.ip ~ forbidden) {
error 403 "Forbidden";
}

on XXX.XXX.XXX.XXX es la IP que es vol bloquejar.

D'aquesta manera el servidor respon amb un "403 forbidden" a la petició del client.