- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
С ajax плагинами входа тоже, они посылают POST запрос на wp-login.php
Если сайт свой, то в качестве костыля можно устанавливать секретную куку на самом сайте.
Но только ява-скриптом. Прям в шаблон можно добавить.
---------- Добавлено 05.08.2013 в 00:37 ----------
можно но не факт, тут проблема в том что авторы таких программ тоже не дураки если они делают такое то берут захват намного глубже.
вот только для брутелок конечно не кто не будет делать, это уже умная ddos-илка.
Ну, как говорится, решать проблемы нужно по мере их поступления :)
Сделают выполнялку ява-скрипта и имитацию телодвижений пользователя — будем думать, что делать дальше. А пока и так отлично ботов отфутболивает.
;12016242']Если сайт свой
Свой, но костыли) Я пока прописал
RewriteCond %{QUERY_STRING} !(callback|logout|lostpassword)Брут примитивный, без всяких параметров (да даже реферер одинаковый), а так AJAX логину защита мешать не будет.
Всем привет!
Никак не могу авторизоваться ни на одном из своих сайтов на WP.
HTTP-авторизацию пробовал, одобренный порт 8080 от регистратора пробовал, всё равно не работает.
Люди, ну кто-нибудь скажет как на VDS скорректировав всего один файл запретить доступ для:
site.ru/wp-login.php
site.ru/administrator
site.ru/admin.php
А то для каждого сайта редактировать свой .htaccess не вариант.
бывают которые парсят ответ сервера и вынимают куку - таких обмануть легко.
еще бывают на основе настоящего браузера - с такими справиться намного сложнее тут уже нужен поведенческий анализ каждого клиента и за ранее накопленная статистика по сайту так что реалтайм можно забыть, там свои подходы, я пока не видел такую умную брутилку.
Рилтайм работает, только конечно не так, что в момент атаки включили, статистика должна копиться заранее. Это уже из категории средств предотвращения атак.
А то для каждого сайта редактировать свой .htaccess не вариант.
htaccess дополняют основной конфиг (httpd.conf), пропиши в него глобально правила для location какие надо
Приветствую!
Со вчерашнего вечера наблюдается атака-брут по всем доменам с WP на файл wp-login.php, подтормаживают несколько десятков серверов. Кол-во ботов более 10к, запросы 1-5 в минуту с каждого IP.
На данный момент более 18k в бане. Если хостер не справляется, то можно использовать простой плагин для WP: Login LockDown
Мы решили проблему ботнета еще в начале июня, нечто похожее на /ru/forum/comment/12014898;postcount=184
Суть кратко:
Поставили кириллическую капчу на все админки WP, Joomla и DLE: нагрузки НУЛЬ, все сайты защищены, вебспейс не затронут, от клиентов никаких собственных действий не требуется.
Суть подробнее:
Пользователи без специальной куки направляются на страницу ввода кириллической капчи. В случае успешного ввода капчи ставится кука на сутки, в нее, в шифрованном виде, пишется IP и время действия куки, для какого сайта она действительна и происходит редирект на адрес админки.
Если юзер без куки шлет POST-запрос, то его отсекает нгинкс. Если кука есть, то информация в ней проверяется нгинксовым перлом.
Если у клиента статический айпи и он не хочет вводить капчу — вайтлистим IP по запросу.
Есть и небольшой недостаток: на сайтах, где есть вход пользователей — капчу видят не только вебмастера, но и рядовые пользователи сайтов.
Ну а блочить по IP — это не выход. Это ресурсоемко, всех не переблочить и прибивает адреса клиентов.
htaccess дополняют основной конфиг (httpd.conf), пропиши в него глобально правила для location какие надо
Если не трудно подскажи что именно нужно прописать, а то недавно взял VDS очень плохо в нём ориентируюсь.
а то недавно взял VDS очень плохо в нём ориентируюсь.
Тогда зачем же вы его взяли? 😮