Ботнет 10к+ на wp-login

Что за тупой вопрос? Если я в чём-то не разбираюсь, это не значит что оно мне не доступно.

GamletOrtikov, если запретить для всех IP, кроме своих, то как-то так:

<Location ~ "/(wp-login\.php|administrator|admin\.php)">

	Order deny,allow

	Deny from all

	Allow from 11.22.33.44

</Location>

<Location ~ "/(wp-login\.php|administrator|admin\.php)">

	Order deny,allow

	Deny from all

	Allow from 11.22.33.44

</Location>

Не пускает

В этом и смысл 🤪

IP свой внешний прописать надо. Это конечно радикальная мера, если на сайтах никто не регается.

Mikanoshi, спасибо большое. Выдаёт 403 ошибку без каких-либо загрузок страниц, я так понимаю из выше написанных постов это и есть необходимый хоть и временный результат?

GamletOrtikov, это блокирует всем логин в профиль и админку WP, кроме указанных IP. Устраивает ли это Вас только Вам известно, другие защиты тоже есть, способ с куками ранее был описан.

Mikanoshi, мне это и нужно было. Главное, чтоб не было такой нагрузки, как сейчас. Вопрос ещё - имеет ли разницу в конце файла это прописывать или вначале?

По скольку у меня динамический IP и на сайтах работают фрилансеры хз с каким IP, вариант доступа с определенных IP для меня не приемлем.

я реши проблему так -в корневом .htaccess для каждого wp-сайта прописал:

<Files wp-login.php>
AuthType Basic
AuthName "Login please!"
AuthUserFile /var/www....путь....../file.passwd
<Limit GET POST>
	require valid-user
</Limit>
</Files>

file.passwd генерируется здесь - http://www.htaccesstools.com/htpasswd-generator/

Логин и пароль имеют длину 30+ разнообразных символов, уверен что на брут понадобятся года :)

п.с. В момент атаки load avarage достигла 85, после данного действия нагрузка моментально спала.

GamletOrtikov, без разницы

bohdan_1991, и всем фрилансерам выдал эти 30+ символьные фигни?)

Можно в AuthName прописать логин и пароль, чтобы человек смог зайти, а боты нет.

Да, выдал. Они раз ввели, хром запомнил и забыли))

Можно, спасибо за идею ☝