- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Здравствуйте господа.
Обнаружил в логах, что кто то питается подобрать пароль в админ панель сайта. файл админки был переименован и никто кроме меня не имел доступ к админки + в robots.txt не указан файл админки.
после обнаружения снова сменил название админки + поменял все пароли, спустя сутки вижу новые логи Неудачная попытка авторизации на сайте с использованием неверного пароля
забанил ип адреса, появились новые и продолжают подбор пароля, пароли у меня мега сложные и просто так подобрать не так уж просто, но все таки интересно, как узнают адреса админки? И есть ли реальная зашита?
Если уж так просто можно узнать адрес админки, то какой смысл переименовать?!
Спасибо.
Ни что не поможет, будут брутить. Админку найти нет сложности тойже Nitko.
В DLE да и на большинстве CMS не реализована зашита от бруто-форса.
Закрыть через .htaccess доступ не с вашего айпи
Закрыть через .htaccess доступ не с вашего айпи
Зачем IP, просто логин пароль на папку админа поставить через .htaccess это на 99.99% в случае ТС поможет.
Зачем IP, просто логин пароль на папку админа поставить через .htaccess это на 99.99% в случае ТС поможет.
Файл админки в корне сайта, что бы его переместить в папку нужно делать множество правок в движке наверное.
В настройках у DLE есть - "Список IP для которых разрешена авторизация в админпанели скрипта", даже если паролем завладеют, то скорее всего не смогут войти.
В настройках у DLE есть - "Список IP для которых разрешена авторизация в админпанели скрипта", даже если паролем завладеют, то скорее всего не смогут войти.
Да есть, но у меня часто меняется IP.
Да есть, но у меня часто меняется IP.
Делайте большой сложный пароль и не парьтесь. От брута это спасет. Адрес админки и логин админа все равно вычисляется за 5 сек. У меня постоянно на всех сайтах на ДЛЕ пытаются ломиться в админку, я уже не обращаю внимания. От серьезных хакеров все равно не спасетесь. Захотят - взломают.
понятно, на одном из сайтов сделал защиту с помощью .htpasswd, посмотрим что будет.
Самый просто вариант(как по мне) - в начале файла авторизации в админке пишем
Делаем 1 секретный файлик, чтобы тока Вы урл знали. Ну к примеру обзываем его abcdef.php
в нем пишем
Теперь в браузер вбиваем УРЛ секретного файлика, ну к примеру www.site.ru/adminka/adcdef.php (чем сложней название файла и путь к нему - тем лучше).
Если видим на экране 1, то все гуд. Теперь у нас стоит секретная кука.
Дальше заходим на страницу входа в админку и авторизуемся.
В итоге получается, что для того, чтобы начать брутить админку нужно узнать название куки, которая устанавливается для защиты(выделана жирным в посте).
При желании можно сделать, чтобы кука устанавливалась при наличии определенного ГЕТ-параметра в УРЛе. К примеру www.site.ru/adminka/adcdef.php/?name=VaseQ&code=verbludi_idut_na_sever
Такую защиту рекомендую каждому из своих клиентов(точнее раньше, когда кодил для народа). До сих пор ни одной жалобы не было;)
ТС, у вас на сайте пытаются подобрать пароль, а не в админпанели. Также в настройках есть "Максимальное количество ошибочных авторизаций" и таймаут.