Ботнет 10к+ на wp-login

А мне больше понравилось такое решение:

На примере Joomla,

1. кладем в папку администратор файлик .htaccess с таким содержанием

<Files index.php>

order deny,allow

deny from all

allow from 100.180.0.235

</files>

2. создаем любой php файл например goadmin.php в папку администратор с таким содержанием:

<meta http-equiv="content-type" content="text/html; charset=utf-8" />

<?php

$h = fopen(".htaccess","w");

$go="<Files index.php> \n order deny,allow \n deny from all \n allow from ";

$ip = $_SERVER['REMOTE_ADDR'];

$end="\n</files>";

$text = $go.$ip.$end;

if (fwrite($h,$text))

echo "ip обновлен";

else

echo "ошибка записи .htaccess";

fclose($h);

?>

И вуаля, при заходе в админку получаем ошибку .htaccess не пущает. Идем на http://ваш сайт/administrator/goadmin.php и получаем сообщение что ip обновлен, после этого спокойно заходим в админку. Для параноиков можно назвать файл goadmin.php как-нибудь позаковырестей.

что то мне подсказывает, что это не 100% решение.

подскажите как реализовать, а то я по глупости запрещаю доступ айпи с попытками подбора. а оказывается всё куда проще :)

Пукт первый на 100%, лет пять никаких лишних гостей, и никаких писем от яндекса о "подозрительных личностях на вашем сайте" 🍿

Пункт второй, если часто меняется ваш IP, но лучше закрыть данный файл паролем:)

паролем закрыть и делов то) - через тот же .htaccess.

Та что это за извраты.

Ставим user agent changer, прописываем в нем пароль, блокируем всех, кто без пароля.

и на все остальные сайты тоже ходим с парольным юзер агентом? 😮

Интересные у вас решения)

Не проще действительно поставить защиту паролем? Либо пускать только с нужных ip-адресов.

Да, а что такого? Не обязательно же прям в явном виде писать - "это пароль: 12345".

просто ип может быть динамическим и каждый раз по два пароля вводить тоже не очень удобно

Можно разрешить для всей сети вашего провайдера.