- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
Страдают только wp и joomla? О других движках сейчас стоит позаботиться? А то у меня на виртуальных хостингах сейчас половина мелких сайтов в дауне.
http://wordpress.org/plugins/stealth-login-page Stealth Login Page Добавляет секретный ключ, прячет wp-login.php
Или http://wordpress.org/plugins/protected-wp-login/ Protected wp-login - смотрит на параметр ключа в урл - если его нет - не пускает
Кстати мне саппорт хостинга такое решение прислал: http://pervushin.com/wordpress-login-config-protect.html , вроде самое простое и эффективное.
Кстати мне саппорт хостинга такое решение прислал: http://pervushin.com/wordpress-login-config-protect.html , вроде самое простое и эффективное.
трогать файлы движка почти всегда плохое решение..
Страдают только wp и joomla? О других движках сейчас стоит позаботиться? А то у меня на виртуальных хостингах сейчас половина мелких сайтов в дауне.
У знакомых была замечена атака на сайты на DLE.
Брутят 3 движка: Wordpress, Joomla и DLE
Помогает закрытие доступа к админ панелям.
Для Joomla достаточно создать в директории administrator файла .htaccess с содержимым:
де 11.22.33.44 это ваш IP адрес. Для остальных IP адресов доступ будет закрыт.
Посмотреть ваш текущий IP адрес можно на странице http://internet.yandex.ru/
Для Wordpress и DLE нужно закрыть файлы wp-login.php и admin.php соответственно в корне сайта.
В корневой .htaccess:
Директорию wp-admin тоже можно закрыть, хотя судя по громадным логам все запросы идут только на wp-login.php
Переименовывать файл wp-login.php нет смысла, CMS отдает свою страницу 404 и нагрузка хоть и снижается, но не полностью.
Данный способ удобен если не нужно входить в админку часто с разных IP.
На мой взгляд самым лучший способ это http авторизация.
В корне сайта создаем файл .htpasswd
На сайте http://www.htaccesstools.com/htpasswd-generator/ создаем хеш пароля и добавляем его в файл .htpasswd
Для joomla в файл .htaccess в директории administrator добавляем:
Для Wordpress и DLE в корневой .htaccess:
полный_путь_к_файлу - на хостинге с ISPManager это /var/www/USER/data/www/DOMEN.RU/.htpasswd
Узнать полный путь можно добавив в php файл следующий код
А как глобально, для сервера решить проблему?
Третий день долбят..
Кстати странно, что брутят только "нормальные" сайты - новые или под АГС не берут. Походу или на возраст или на индекс страниц пробивают перед брутом.
Заметил вчера подобное, но немного в другом ракурсе.
Есть куча РУшек (как раскрученные, таки и практически нулёвые) - с ними были проблемы
Есть одна хомка .DP.UA (старенькая) - проблем с ней никаких не наблюдал
Хостятся все в одном месте.
Что здесь сыграло решающую роль не понятно, может это домен третьего уровня, т.е. изначально из базы отсеиваются такие домены, может ещё что-то...
Региональный украинский сайт есть в индексе гугли и яндекса, поэтому глупо предполагать, что его просто "не нашли", когда составляли базу.
Переименовывать файл wp-login.php нет смысла, CMS отдает свою страницу 404 и нагрузка хоть и снижается, но не полностью.
Тем не менее, после переименования от меня отстали. Предполагаю, что при получении 404 страницы для себя ставят галочку о недоступности страницы и переключаются на другие сайты. Возможно, впоследствии возвращаются (не проверяла).
Решение для тех у кого много пользователей пользуются авторизацией.
1. Создаете файл в корне блога (там где wp-login.php), называете его как хотите, но не так как в этой статье. Я назвал его fggtreswerr.php
2. в него копируете весь код из wp-login (код придется обновить при обновлении движка в будущем)
3. В этом файле (fggtreswerr.php) находите все упоминания wp-login.php и меняете на имя созданного файла (в моем примере fggtreswerr.php). У меня нашел 20 упоминаний. Сохраняете.
Теперь вы можете зайти на блог через строку http://ваш-сайт/fggtreswerr.php
4. Закрываем в файле .htaccess (в корне блога) доступ к wp-login.php. Для этого вписываем
и при заходе http://ваш-сайт/wp-login.php сервер будет отдавать 403 код.
5. но в админке для того чтобы выйти нам надо переписать адрес выхода. Используем экшн, вписываем его в файл functions.php своей темы:
add_filter('login_url', 'my_custom_login_url');
add_filter('logout_url', 'my_custom_logout_url');
function my_custom_login_url($force_reauth, $redirect=null){
$login_url = site_url('fggtreswerr.php');
if (empty($redirect)) $redirect=home_url();
$login_url = add_query_arg('redirect_to', urlencode( $redirect ), $login_url );
return $login_url ;
}
function my_custom_logout_url($force_reauth, $redirect=null){
$logout_url = wp_nonce_url(site_url('fggtreswerr.php')."?action=logout", 'log-out' );
if (empty($redirect)) $redirect=home_url();
$logout_url = add_query_arg('redirect_to', urlencode( $redirect )."/?loggedout=true", $logout_url );
return $logout_url ;
}
обратите внимание: fggtreswerr.php в этом коде вам нужно заменить на свою новую страницу входа.
в этом коде:
add_filter('login_url', 'my_custom_login_url');
add_filter('logout_url', 'my_custom_logout_url'); - необходимы для входа и выхода (если используется виджет входа вп).
код использует wp_nonce_url для генерирования случайной строки в урл. Необходимая мера для защиты.
$redirect=home_url(); - после выхода - редирект на главную страницу
источник
Плюсы:
Теперь ваш wp-login.php закрыт для всех
вам в .htaccess каждый раз не нужно вписывать ваш новый динамический айпи.
Блогом продолжают пользоваться ваши многие зарегистрированные пользователи
Файлы движка мы не трогаем
Код в functions.php ни коем образом не грузит сайт
Минусы:
При обновлении движка блога вам нужно скопировать новый wp-login.php в ваш файл авторизации и выполнить пункт 3
Но это так просто:)