Нужен совет по защите от брутфорс на WordPress

123 4
M7
На сайте с 23.12.2014
Offline
48
207

Добрый день.

Брутфорс-атаки на WordPress создают значительные нагрузки на сервере.

Есть какие либо эффективные методы защиты, со стороны сервера, без установки каких либо плагинов и т.п.  в самом WP.

Цель защитить WP сайт и снизить нагрузку на сервере.

Заранее спасибо за Ваши ответы.

SV
На сайте с 03.11.2008
Offline
1394
#1

mobilka777 :
Есть какие либо эффективные методы защиты, со стороны сервера, без установки каких либо плагинов и т.п.  в самом WP.

Если используется апач, то  рекомендую поставить доп. авторизацию типа

<FilesMatch (wp-login\.php|load-scripts\.php|load-styles\.php)>
AuthType Basic
AuthName "Adminzone"
AuthUserFile /var/www/user/data/etc/wp.htpasswd
Require valid-user
</FilesMatch>
Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
M7
На сайте с 23.12.2014
Offline
48
#2
SeVlad #:

Если используется апач, то  рекомендую поставить доп. авторизацию типа

Дополнительная авторизация стоит, в качестве защиты и минимальной нагрузки это было очень неплохо, но работает это только по http, по https нет. Большинство сайтов уже с SSL, поэтому этот способ уже малоэффективен.

SV
На сайте с 03.11.2008
Offline
1394
#3
mobilka777 #:

, но работает это только по http, по https нет.

С чего бы?


AfterWar
На сайте с 28.01.2013
Offline
123
#4

Ограничение по ip ставьте в htaccess - если динамический не пишите последние цифры

ставьте и для <Files wp-login.php> и для wp-admin - многих проблем избежите - не только брутофорса


<Files wp-login.php>

order deny,allow

deny from all

Allow from 1.1.1

</FilesMatch>

для wp-admin

<LIMIT GET>

order deny,allow

deny from all

Allow from 1.1.1

</LIMIT>
⭐⭐⭐ЛУЧШАЯ АЛЬТЕРНАТИВА ADSENSE (ПЛАТЯТ, И ДЛЯ RU ДЛЯ БУРЖ) ( https://clck.ru/KgyqY )
Евгений Крупченко
На сайте с 27.09.2003
Offline
158
#5

у моих подопечных (shared хостинг) по-умолчанию включается защита на уровне nginx, которая при всех POST запросах проверяет наличие одной куки, которая ранее ставится когда запрашиваются .css файлы.

боты ничего такого не запрашивают и соответственно получают лишь 403 ошибку когда POST'ят что-либо.

таким образом отлично отшиваются и брутфорсы и спам-посты. причем независимо от cms, будь то wordpress или что-угодно другое.

всегда суть одна и та же: что-то нехорошее делается обычно при POST'е, и боты обычно не качают контент сайта (.css).


но конечно изредка кому-то действительно нужны какие-то автоматические пост запросы, тем защита выключается.

работает так не первый год, wp сайтов сотни, их постоянно брутфорсят, но нагрузки никакой нет, взломов нет, одни плюсы :)

SV
На сайте с 03.11.2008
Offline
1394
#6

AfterWar #:

и для wp-admin - многих проблем избежите

но появятся новые. Из  wp-admin вызываются скрипты на фронте. Что нужно защищать - я показал в первом ответе.
AfterWar
На сайте с 28.01.2013
Offline
123
#7

много лет использую на самых различных конфигурациях и проблем "со скриптами" не встречал - в любом случае  wp-login.php так защитить необходимо, что от брута (и от нагрузки им вызванного) как раз и спасет. 

SV
На сайте с 03.11.2008
Offline
1394
#8
AfterWar #:

много лет использую на самых различных конфигурациях и проблем "со скриптами" не встречал

Не много же ты имел дел с современными ВП-сайтами. Весь аякс через wp-admin/admin-ajax.php идёт. И это никак не пофиксят.


AfterWar #:

в любом случае  wp-login.php так защитить необходимо

wp-login.php != wp-admin/

wp-login.php (и ещё 2 скрипта) - да. wp-admin - ни в коем случае!

AfterWar
На сайте с 28.01.2013
Offline
123
#9

1. Предпочитаю общаться с малознакомыми людьми на "Вы"  а  доступ в админку с защитой по ip мне рекомендовал разработчик популярного security плагина чтобы как раз просто снизить нагрузку от перебора паролей и не использовать плагины "комбайны" , и его компетенцию подвергать сомнению у меня не было, ибо совет оказался на редкость простым и эффективным.

2. Ну понятно же что имелся ввиду wp-login.php раз уж я привел 2 варианта готовых решений и первый с как раз с  <Files wp-login.php>

3. с admin-ajax.php лично у меня конфликтов не возникало (и хорошо что так)

4. TC - также неплохо таким образом защитить xmlrpc.php и wp-config

SV
На сайте с 03.11.2008
Offline
1394
#10
AfterWar #:

1. Предпочитаю общаться с малознакомыми людьми на "Вы"

Предпочитай, кто тебе запрещает-то.

https://searchengines.guru/ru/forum/944268/page6#comment_14682615

AfterWar #:
. Ну понятно же что имелся ввиду wp-login.php

Прикинь, я читать умею и именно на это я и отвечал:

AfterWar #:
и для wp-admin - многих проблем избежите

..

..

для wp-admin

..

Или скажешь,  это не ты писал?

А про  сказанное тобой про wp-login.php - претензий никаких не имею.

Ты или Вы? - Курилка - Не про работу - Форум об интернет-маркетинге - Страница 6
Ты или Вы? - Курилка - Не про работу - Форум об интернет-маркетинге - Страница 6
  • 2016.09.19
  • searchengines.guru
Как вам более нравится (приемлемо) обращение в интернете и на этом форуме - на "ты" или на "Вы...
123 4

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий