- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Вы просто все усложняете, и я не очень понимаю зачем, т.к. отлично знаю тот кейс. Но ваше дело, безусловно, если по фану =)
Я сторонник "если делаешь, то делай капитально" и полной обфускации. ;)
И, да, мне "по фану". :D
---------- Добавлено 18.02.2014 в 12:24 ----------
Какой смысл писать реализацию такого плана на php, если это же все можно проверить на фронтеде? Глупо.
Горчичник по тебе плачет, ибо читаешь невнимательно! ;)
ЕЩЁ РАЗ ЧИТАЙ первый пост.
Потрудись, пожа-а-а-а-алуйста. ;)
И не будешь так позорно потом выглядеть рассуждая про фронт и бэк. ;)
Кто бы говорил? Самому стыдно же будет!
Файл создает кто? ПХП. Дальше объяснять или сами в своей же реализации разберетесь?
Файл создает кто? ПХП. Дальше объяснять или сами в своей же реализации разберетесь?
Ну, и!? Когда и для чего файл создаётся средствами PHP?!
Как идёт обращение к админке?!
Если ты внимательно бы прочитал, то понял, какую ерунду тут пишешь. А если реально не понимаешь, то бежать от таких хостеров надо. Бежать без оглядки.
Но я уверен, что ты просто не прочитал внимательно и не вник, что там и зачем юзает PHP, и как потом работает NGINX. ;)
Jovian, какаемо картинки - wp-contetnt сам ошибся? или такие редиректы/реврайты в нгиксе понагородил?
хотя да - ошибся, обращение в любом случае пойдет к wp-content и проверяем мы ее :) а там 200
Jovian, какаемо картинки - wp-contetnt сам ошибся? или такие редиректы/реврайты в нгиксе понагородил?
Тьфу, сам ошибся. Много опечаток, когда с ноута пишу, простите грешного.
А так, да, небольшая куча рерайтов в самом NGINX, запрещающих прямой доступ куда-либо к системным файлам/папкам, да плюс кучка хуков в WP, меняющих структуру начиная с урлов, и заканчивая классами и прочей дребиденью: кастомный меню-вокер, к примеру, отсутствие такой фигни в классах и коде, как "wp-image" и т.д. и т.п. Даже отдельная функция для убирания гребанного WPSEO комментария в хеде ("Этот сайт юзает плагин Joast.... траляля").
Всё перелопачено. :)
Стоит заметить, что я жуткий противник плагинов, и если их юзать много, то с рерайтами будут проблемы, если не менять исходники этих самых плагинов (но тогда геморрой с обновлениями). Использую только самое необходимое, что не могу написать сам. :) WPSEO тому пример.
Ну, и!? Когда и для чего файл создаётся средствами PHP?!
Как идёт обращение к админке?!
Если ты внимательно бы прочитал, то понял, какую ерунду тут пишешь. А если реально не понимаешь, то бежать от таких хостеров надо. Бежать без оглядки.
Но я уверен, что ты просто не прочитал внимательно и не вник, что там и зачем юзает PHP, и как потом работает NGINX. ;)
Да нет, как раз вник. И все написал верно, но без всяких fopen и вообще PHP можно обойтись и реализовать аналогичное решение. Не знаете как? Тогда не называйте решение "нетривиальным"!
Решение вполне неплохое, я этому не перечу, но "нетривиальное" ли? Совершенно нет! Если более умные решения, кстати некоторые из них частично описывались на этом форуме уже.
Чем плохое решение?
1. можно обойти. Что правда не текущими ботами.
2. нагрузка. Говорите 1000? А это много?
Преимущества:
вероятно таки более разумное чем модули ВП.
Если вы этого не понимаете то ждите того момента когда к вам вломится 5 тысяч ботов сделав всего по 2-3 запроса каждый. Тогда вы поймете что не так и к чему здесь php.
Кто-нибудь, спасите меня! :) Объясните WapGraf'у, что там и зачем. А то он в трёх соснах потерялся. :)
kgtu5, поможешь? Ты ведь понимаешь. ;)
Jovian, к чему весь мой текст? Вероятно вы еще не видели что боты сейчас брутят не только админку ВП, но и аккаунты пользователей, причем также массово. У этих ботов конечно другая цель, но вы пользователей также заставите заходить на дополнительные странички? Это будет смерть для сайта и ваша реализация этого не учитывает.
Т.е. реализация очень узкая. В то время как были представлены реализации, учитывающие больше факторов. Так еще раз спрошу - что здесь "нетривиального"?
Jovian, не с WapGraf'ом, сам воюй :)
на мой вопрос пока так и не ответил: какой ответ получает любой обратившийся к /wp-content, /wp-includes или например к /wp-includes/bookmark.php при твоих текущих настройках нгикса ????
Jovian, к чему весь мой текст? Вероятно вы еще не видели что боты сейчас брутят не только админку ВП, но и аккаунты пользователей, причем также массово. У этих ботов конечно другая цель, но вы пользователей также заставите заходить на дополнительные странички? Это будет смерть для сайта и ваша реализация этого не учитывает.
1. Простейший модификация с редиректом поможет и в случае с аккаунтами пользователей. Урл страницы отдавать средствами JS, используя хитрую функцию компоновки, да ещё и задействуя jQuery -- из 10000000 ботов пробьётся только один -- тот, который полностью кушает и исполняет даже сложный JS. Элементарно. Однако не это здесь важно, а следующих два пункта.
2. Обсуждаем мы тут защиту именно админки. Не больше. Причем тут пользователи и остальное? Админам/модерам/постерам дать/посетить нужный урл -- ерунда.
3. Вы так и не поняли, что боты отшиваются средствами только NGINX и не доходят до бэкэнда.
---------- Добавлено 18.02.2014 в 13:22 ----------
Jovian, не с WapGraf'ом, сам воюй
Ну вот, ты же мог бы объяснить, ибо понимаешь. А то человек меня совсем не хочет слушать.
на мой вопрос пока так и не ответил: какой ответ получает любой обратившийся к /wp-content, /wp-includes или например к /wp-includes/bookmark.php при твоих текущих настройках впс ????
404, конечно.
Ты не знаешь, как это сделать элементарно в NGINX? :)
Не забывай, что закрывая во фронте доступ туда, бэку (php) он всегда будет открыт. ;) Поэтому тупо отдавая 404 (или что душе угодно), весь сайт будет работать нормально, но юзеры не зайдут в WP-***
Можно вообще просто редирект на главную сделать. Причем со всех популярных страниц админок -- фиг поймешь, что за CMS реально используется. ;) Или закосить под ложную CMS, отдавая 403 на определённый урл -- пущай долбяться и думают, что у вас, к примеру, Битрикс. :D Один фиг NGINX футболить будет, не напрягая бэк. ;)