- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
- чтобы отдать 404 достаточно знать, что такой страницы нет, для этого достаточно фронт-энда, который отдаст страницу ошибки мгновенно, ведь это статика. Бэкэнд, обеспечивающий работу скриптов не будет задействован.
- чтобы отдать ошибку по логину, нужно принять логин/пароль и проверить пароль по бд, потом сформировать ответ, а это ресурсы.. и неважно, сколько лет будут подбирать пароль, вам надо, чтобы людям сайт отдавался нормально, а от взлома защититься можно просто более сложным паролем.
По этой же причине не всегда оправдано использование плагинов, т.к. они требуют выполнения обработки каждого запроса.
Та же ботва, только без предупреждения и неизвестно до какого числа.
Многие пишут про смену wp-login. Не пойму, в чем профит, если сайт будет отдавать 404 ошибку и тем самым грузить сервер?
Подозреваю, что после получения 404 ошибки прекращают обращаться к сайту. От меня по крайней мере отстали. ))
Перечитал все 13 страниц. Как защитить для одного автора - описано. а если пользователей сайта много? order allow,deny не будешь же на сотни динамических айпи вписывать? Это нереально.
2. Еще одна из проблем - при отключенной регистрации все таки один зарегился. Айпи адрес я не увидел (в логах прошелся поиском по регистрации wp-register.php, по имени пользователя и почты - всё чисто). но вот его профиль: chromepros(это мыло)operabrow(точка)com хттп://chromebrowser(точка)ru SigeesserneDR Sigeesserne - это имена
Думаю это тоже связано с атакой. Но как он зарегился - в движке "Любой может зарегистрироваться" - галка снята
С левыми регистрациями в этот момент никто не сталкивался? Как может появиться новый пользователь
С левыми регистрациями в этот момент никто не сталкивался? Как может появиться новый пользователь
Новый пользователь может просочиться через дырку в движке или плагине.
Мой вопрос пропустили. Задам конкретнее плагин Anti-XSS attack мне кажется должен помочь отсечь сам доступ в wp-admin, я прав?
Или еще как вариант - /ru/forum/comment/11644810
это поможет?
WebAlt, тоже на FirstVDS, но мне не писали. Если честно, я сам написал в ТП и от них об атаках и узнал (даже ссылку на эту вот тему дали). Принял сам некоторые меры, автоматом ничего не ограничивали пока что.
С FirstVDS тоже не писали, пришлось самому искать информацию о том, что происходит.
Временно решил проблему закрытием админки через .htaccess c разрешением для моего ip:
Аналогичная проблема, решил простым правилом в корневом .htaccess
Закрывает полностью обращение к этой странице от всех.
Для доступа по определенному ip пишем так в .htaccess
Всем спасибо за советы...
Devvver, а напрямую к wp-login.php закроет?
да и нагрузка на сервер при обработке все равно гораздо выше, чем при отдаче какой либо статичной страницы ошибки (401 например)...
---------- Добавлено 04.08.2013 в 01:02 ----------
немного переделал блокировку:
в корневой
AuthType Basic
AuthName "ADMIN ONLY!"
AuthUserFile /путь_до/.htpasswd
Require Valid-user
</Files>
в папке wp-admin
AuthName "ADMIN ONLY!"
AuthUserFile /путь_до/.htpasswd
Require Valid-user
Devvver, а напрямую к wp-login.php закроет?
вопроса не совсем понял.
Варианты с блоком в .htaccess мне не подходят - у меня динамический IP.
Devvver, плагин закроет доступ к wp-admin с помощью дополнительного редиректа, а если боты напрямую к wp-login.php обращаются, он не поможет
сделайте дополнительную авторизацию через .htaccess/.htpasswd
Настройте на сервере доступ к wp-login.php только через порт 8080
типа так будет - site.ru:8080/wp-login.php
У меня на VPS так настроено..... хакеры более не беспокоят, за что огромное спасибо службе поддержки. Сервер в Германии (ссылка в подписи)