Hoy me he encontrado con un ataque de fuerza bruta para acceder a la administración de un Wordpress. El ataque estaba enviando repetidas peticiones POST a /wp-login para así acceder a la adinistración de Wordpess.

Como el Wordpress està bajo el acelerador de aplicaciones web Varnish Cache, para bloquear el ataque se ha tenido que configurar en Varnish Cache el bloqueo.

vi /etc/varnish/default.conf


# Forbidden IP ACL
acl forbidden {
"XXX.XXX.XXX.XXX"/32;
}
...
# This function is used when a request is send by a HTTP client (Browser)
sub vcl_recv {
# Block the forbidden IP addresse
if (client.ip ~ forbidden) {
error 403 "Forbidden";
}

donde XXX.XXX.XXX.XXX es la IP que se desea bloquear.

De esta manera, el servidor responde con un "403 forbidden" a lad peticiones del cliente.