Форум Сайтостроение Веб-строительство

Запрет в htaccess на доступ к POST /edit

1... 5678910111213 14
A
На сайте с 20.08.2010
Offline
775
awasome
#111

netwind, прям автоматом htaccess изменяет? Разве это возможно? Хотя я бы не отказался от такого плагина для вп

N
На сайте с 06.05.2007
Offline
419
netwind
#112

awasome, почему нет? просто трудоемкость написания таких решений выше чем просто перевести сайт на VPS и воспользоваться уже накопленным опытом отражения атак. Маловероятно чтобы кто-то заморачивался.

Кнопка вызова админа ()
A
На сайте с 20.08.2010
Offline
775
awasome
#113
netwind:
awasome, почему нет? просто трудоемкость написания таких решений выше чем просто перевести сайт на VPS и воспользоваться уже накопленным опытом отражения атак. Маловероятно чтобы кто-то заморачивался.

Понятно. На самом деле я могу просто обрубить пост-запросы, отдавая 403. Только у меня и сайт обновляется, и комментарии есть, так что не вариант 😒

A
На сайте с 20.08.2010
Offline
775
awasome
#114

Подскажите еще пожалуйста. Как добавить в код, расположенный ниже, свою подсеть, что бы была возможность добавлять контент?

<LIMIT POST>
deny from all
</LIMIT>
IL
На сайте с 20.04.2007
Offline
435
ivan-lev
#115

awasome, попробуйте в документацию заглянуть - там на любой вкус.. и IP, и IP Range, и net+mask...

awasome:
netwind, прям автоматом htaccess изменяет? Разве это возможно? Хотя я бы не отказался от такого плагина для вп

Если разрешений на запись хватает - почему нет. Плагин - не знаю, а решение пишется.

awasome:
Речь о шареде, хотя для отдельного сервера тоже интересует

Для сервера решений куча..

На уровне web-сервера..

nginx - см limit_req_zone

Для apache тоже модули есть. тут, например

awasome:
Понятно. На самом деле я могу просто обрубить пост-запросы, отдавая 403. Только у меня и сайт обновляется, и комментарии есть, так что не вариант*

Обновление из админки происходит. Комментарии - тоже к одному адресу обращения. Остальные POST-запросы закрывать можно смело. Ещё можно REFERER проверять... Ещё.. В общем, пофантазировать можно.

sergey4040:
Не подскажите как можно закрыть POST для страниц заканчивающихся на edit и на главную без edit?

Дополнительно к edit ещё правило добавить для / (главной страницы)


RewriteCond %{REQUEST_METHOD} POST
RewriteRule ^$ - [L,F]
... :) Облачные серверы от RegRu - промокод 3F85-3D10-806D-7224 ( http://levik.info/regru )
Semonitor 3.0 - программа Яндекс.Метрика: Почему может не Вышла новая версия SEO-аудитора
A
На сайте с 20.08.2010
Offline
775
awasome
#116
Klichko_Vladimir:

Это весь код. Что тут не так?

Спасибо за код, он мне очень пригодился. На буржуйском бложике вычитал, что вот это

# 403 for flooders
RewriteCond %{REQUEST_METHOD} POST
RewriteRule ^(.*/)?edit$ - [L,F]

нужно удалять, потому как у вас все равно все post закрыты (ну почти все). А еще в ip убрал знак "=", но это, видимо, от вашего сервера/хостинга зависит

Яндекс.Маркет позволил продавцам удалять Опасны ли 308 и Яндекс меняет подход в
S4
На сайте с 08.01.2009
Offline
61
sergey4040
#117
ivan-lev:

Дополнительно к edit ещё правило добавить для / (главной страницы) 

RewriteCond %{REQUEST_METHOD} POST

RewriteRule ^$ - [L,F]

Большое спасибо за код. Вы очень помогли. Но ребята как будто читают этот форум) Теперь кол-во POST запросов на любые страницы без edit заметно увеличилось.

К сожалению, такое выражение работает у меня только для реально существующих страниц, а не созданных при помощи mod_rewrite. Т.е. если obratnaya-svyaz реально существующий фаил. 

RewriteCond %{REQUEST_METHOD} POST

RewriteCond %{REQUEST_URI} !/obratnaya-svyaz

RewriteRule ^ - [F,L]
Ретаргетинг теперь доступен всем Рейтинг магазина теперь не Яндекс.Директ увеличил лимит на
[Удален]
#118

А нет ли тут умельцев, способных написать скрипт, который раз в минуту делал бы "tail -n 500 лог.файл" и находя там больше 3 POST-запросов с одного ip добавлял его в .htaccess? :)

Или он сам создаст нехилую нагрузку?

Long-tail запросы насколько они Яндекс.Маркет начал перевод всех Товарные кампании в Яндекс
[umka]
На сайте с 25.05.2008
Offline
456
[umka]
#119
BrimStone:
А нет ли тут умельцев, способных написать скрипт, который раз в минуту делал бы "tail -n 500 лог.файл" и находя там больше 3 POST-запросов с одного ip добавлял его в .htaccess? :)
Или он сам создаст нехилую нагрузку?

У некоторых в лог файл добавляется поболе 500 строк в минуту. Тем более, запись в лог может кэшироваться и добавляться ещё бóльшими пачками.

Ну и нагрузку такой скрипт тоже будет создавать (некоторые лог-файлы бывают по гигабайту в сутки).

Лучше заворачивать запись в лог через pipe. Или, что ещё лучше, написать модуль для апача.

Лог в помощь!
Яндекс.Справочник обновил правила расчета Яндекс отметил лучшие организации Тематичность страницы и сайта
[Удален]
#120

Модуль для апача - это история про свой сервер. Там есть решения по защите и без извращений с анализом лог-файла.

Я же говорю про обычный виртуальный хостинг, где кроме .htaccess ничего и нет.

А строк, мне кажется, можно даже меньше брать. :)

У меня по 30.000 просмотров за сутки, но даже в час пик под атакой, из 100 строк, 50 будут POST'ом...

Около 2% наиболее часто Обновлено: Reg.ru упал вместе Поиск по документам и
1... 5678910111213 14

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий