Нужен совет по защите от брутфорс на WordPress

1 234
arbitrate
На сайте с 04.02.2018
Offline
57
#21
AfterWar #:
Вас SeVlad я и считал и считаю неплохим спецом по wp (что есть то есть) хотя бы потому что и мне пару раз вы давали дельные советы.
Это «чудо» интернет-тролль :) Почитайте его переписку в других топиках, чтобы стало все понятно.
Идентификация – идеальная технология определения контактов посетителей вашего сайта https://clck.ru/bvvEM
arbitrate
На сайте с 04.02.2018
Offline
57
#22
mobilka777 :
Есть какие либо эффективные методы защиты, со стороны сервера, без установки каких либо плагинов и т.п.  в самом WP.

Вам нужно решение без плагинов, но тем не менее посмотрите в сторону плагина clearfy-pro, который «прячет» страницу входа wp-login.php, и заменяет ее адрес на адрес вида AWOFJFJDKFJFKDJF.php

Vladimir
На сайте с 07.06.2004
Offline
469
#23
mobilka777 :

Добрый день.

Брутфорс-атаки на WordPress создают значительные нагрузки на сервере.


Файл htaccess, самое простое решение
 закрываем доступ wp-login,  xmlrpc ( если вы его не используете ), и папку  wp-admin полностью
разрешаем себе по IP
Аэройога ( https://vk.com/aeroyogadom ) Йога в гамаках ( https://vk.com/aero_yoga ) Аэройога обучение ( https://aeroyoga.ru ) и просто фото ( https://weandworld.com )
Vladimir
На сайте с 07.06.2004
Offline
469
#24
Евгений Крупченко #:

у моих подопечных (shared хостинг) по-умолчанию включается защита на уровне nginx, которая при всех POST запросах проверяет наличие одной куки, которая ранее ставится когда запрашиваются .css файлы.

но конечно изредка кому-то действительно нужны какие-то автоматические пост запросы, тем защита выключается.


- Плиз скинь код для nginx
- Кому например?
SeVlad
На сайте с 03.11.2008
Offline
1528
#25

Vladimir #:

и папку  wp-admin полностью

И снова здарова... https://searchengines.guru/ru/forum/1035934#comment_16529317

Может хватит нести протухшие "знания"?

Нужен совет по защите от брутфорс на WordPress - Веб-строительство - Сайтостроение - Форум об интернет-маркетинге
Нужен совет по защите от брутфорс на WordPress - Веб-строительство - Сайтостроение - Форум об интернет-маркетинге
  • 2020.08.12
  • searchengines.guru
Добрый день. Брутфорс-атаки на WordPress создают значительные нагрузки на сервере...
Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
Vladimir
На сайте с 07.06.2004
Offline
469
#26
SeVlad #:

Может хватит нести протухшие "знания"?

Это у тебя знания? нового поколения? Вердпрессовца. Ни знаний сервера, ни знаний базы
( поменять фото на сервере без изменения имен файлов, у тебя испортит базу, большего бреда не слышал )
все на уровне плагинов, иди изучай файловую систему, для начала.
VladimirSEO  правильно написал, программист WP😀

SeVlad
На сайте с 03.11.2008
Offline
1528
#27
Vladimir #:

поменять фото на сервере без изменения имен файлов, у тебя испортит базу, большего бреда не слышал

Это от ламерсва, неопытности и упоротости. Ты вот даже не осилил мои разжевывания ни про данные картинок в базе, ни про яакс. Самому же заглянуть в базу и на файлы - ни ума ни фантазии не хватает. Но нести "свет мудрости" из прошлого века - на это же ума много не надо.

А одноразовых пагинов он боится, хотя сам не знает почему :) Это диагноз.

Vladimir
На сайте с 07.06.2004
Offline
469
#28
SeVlad #:

А одноразовых пагинов он боится, хотя сам не знает почему :) Это диагноз.

Зачем мне твои разжевывания про данные картинок в базе, если ты понятия не имеешь, что изменение фото ( внесение водяного знака , без изменения имени файла, без изменения размеров) никакого отношения к базе не имеет

Зачем мне твои или чужие одноразовые плагины? Если можно все програмно задать на сервере
А, доступ к папке wp-admin (хоть по  ajax) кроме админа, никому делать там нечего
Ты малость попутал с папкой wp-includes. Но и эта папка у меня закрыта в nginx, ибо делать там нечего посторонним
( естественно с разрешением для твоего любимого Ajaх )

В школу изучать основы програмирования и этики.



Евгений Крупченко
На сайте с 27.09.2003
Offline
179
#29
Vladimir #:
- Плиз скинь код для nginx
- Кому например?

да код довольно индивидуален чтоб его скидывать как есть.

надо под свои nginx конфиги делать.

главное примерно понять суть:

в разделе где nginx отдает статику (может ведь быть как-то по другому реализовано, например nginx отдает все, кроме .php) добавить подмешивание куки в заголовки:

location ~* \.(css)$
{
        add_header Set-Cookie "notbot=1;Path=/;Max-Age=31536000";
}

и также в конфиге каждого нужного виртуалхоста (ну или глобально, опять же кому как захочется) делаем проверку типа такой:

if ($block_post)
{
        return 403;
}

и дальше, еще выше на уровне http {} вставляем:

map "$remote_addr" $localip
{
        default 0;
        "ip сервера 1" 1;
        "ip сервера 2" 1;
}

map "$request_method:$localip:$cookie_notbot" $block_post
{
        default 0;
        "POST:0:" 1;
}

что переводится на человеческий как: сделать $block_post = true (чтоб потом там где надо выдало 403 ошибку) в случае если: метод запроса был POST, если ip того кто запрашивал не равен одному из ip сервера и если нет куки notbot

проверка локальных ip нужна т.к. тот же wordpress может делать запросы типа POST /wp-cron.php и чтоб их не отшивало на 403 Forbidden



кому выключается?

да к примеру интернет-магазин с какой-то windows програмулиной, которая должна делать какие-то свои POST запросы к сайту. правка наличия товаров или кто его знает что еще.

это редко, но бывает что необходимо. можно также вместо выключения просто добавить нужный ip в белый список.

ну и конечно можно модифицировать это все как вздумается под свои задачи.

SeVlad
На сайте с 03.11.2008
Offline
1528
#30
Vladimir #:

Зачем мне твои разжевывания про данные картинок в базе, если ты понятия не имеешь, что изменение фото ( внесение водяного знака , без изменения имени файла, без изменения размеров) никакого отношения к базе не имеет

Зачем мне твои или чужие одноразовые плагины? Если можно все програмно задать на сервере
А, доступ к папке wp-admin (хоть по  ajax) кроме админа, никому делать там нечего

Нда.. рано я начал радоваться что ты поумнел.. Как был 10 лет назад нубом, начитавшимся уже тогда устаревших ГСов, таким до сих пор и остался. :(

ЗЫ. "Программисты", не понимающие про яакс (даже дефолтный робостс, поди, не видел), отрицающие служебные плагины, записи в базе и тп, но при этом юзают жутьпаки - это.. печальное зрелище.

1 234

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий