Я не против что вы "пиарите" свой блог, на чужом несчастье. Но работал бы он. уже вторая ссылка, вторые сутки... Ваш блог не доступен. Понять о чем вы говорите я не могу. Соответственно и конструктивного диалога не получится.
dr.bering
У меня проблема была такого плана - несколько пользователей. вход с фронтэнда. Нужно чтобы пользователи входили-выходили из своих аккаунтов. Данным описанным методом я ее решил. Нагрузка спала, но для точной статистики я не могу показать результаты, ранее чем завтра. Просто вчера я один блог на своем аккаунте забыл этим методом защитить. Но в итоге нагрузка спала. (я не утверждаю что именно этот метод панацея, но в моем случае, на виртуальном хостинге и с моими требованиями - он мне помог. Единственный минус виртуального хостинга - я защитил свои сайты, а соседи нет. в итоге их долбят и сервак всем отдает 502 ошибку)
Политический вопрос - если сайт на виртуальном сервере. и этот сервер мочат переборами паролей. Кто должен отвечать за это? Я, владелец сайта, или хостер, который видит проблему?
Например я защитил свои 3 сайта, но соседей по серваку мочат и я получаю 502 ошибку. Кто виноват?
Ваш сайт недоступен.
К чему эти сео ссылки на ваш блог? Делитесь информацией здесь
Решение для тех у кого много пользователей пользуются авторизацией.
1. Создаете файл в корне блога (там где wp-login.php), называете его как хотите, но не так как в этой статье. Я назвал его fggtreswerr.php
2. в него копируете весь код из wp-login (код придется обновить при обновлении движка в будущем)
3. В этом файле (fggtreswerr.php) находите все упоминания wp-login.php и меняете на имя созданного файла (в моем примере fggtreswerr.php). У меня нашел 20 упоминаний. Сохраняете.
Теперь вы можете зайти на блог через строку http://ваш-сайт/fggtreswerr.php
4. Закрываем в файле .htaccess (в корне блога) доступ к wp-login.php. Для этого вписываем
<filesmatch "wp-login.php">Order Allow,DenyDeny from all</filesmatch>
и при заходе http://ваш-сайт/wp-login.php сервер будет отдавать 403 код.
5. но в админке для того чтобы выйти нам надо переписать адрес выхода. Используем экшн, вписываем его в файл functions.php своей темы:
обратите внимание: fggtreswerr.php в этом коде вам нужно заменить на свою новую страницу входа.
в этом коде:
add_filter('login_url', 'my_custom_login_url');
add_filter('logout_url', 'my_custom_logout_url'); - необходимы для входа и выхода (если используется виджет входа вп).
код использует wp_nonce_url для генерирования случайной строки в урл. Необходимая мера для защиты.
$redirect=home_url(); - после выхода - редирект на главную страницу
источник
Плюсы:
Теперь ваш wp-login.php закрыт для всех
вам в .htaccess каждый раз не нужно вписывать ваш новый динамический айпи.
Блогом продолжают пользоваться ваши многие зарегистрированные пользователи
Файлы движка мы не трогаем
Код в functions.php ни коем образом не грузит сайт
Минусы:
При обновлении движка блога вам нужно скопировать новый wp-login.php в ваш файл авторизации и выполнить пункт 3
Но это так просто:)
http://wordpress.org/plugins/stealth-login-page Stealth Login Page Добавляет секретный ключ, прячет wp-login.php
Или http://wordpress.org/plugins/protected-wp-login/ Protected wp-login - смотрит на параметр ключа в урл - если его нет - не пускает
С левыми регистрациями в этот момент никто не сталкивался? Как может появиться новый пользователь
1. Вчера столкнулся с 502-503 ошибкой на своих сайтах. Обращение к хостеру подсказало что ддос атака. Сегодня от них приходит уведомление о 4х кратном увеличении мною нагрузки. Посмотрели логи к одному сайту ломились на wp-login 2300 раз, а на другой сайт 5400 раз. причем 2600 раз с разных ип, но один рефер: "POST /wp-login.php HTTP/1.0" 200 3226 "site.ru/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"
Перечитал все 13 страниц. Как защитить для одного автора - описано. а если пользователей сайта много? order allow,deny не будешь же на сотни динамических айпи вписывать? Это нереально.
2. Еще одна из проблем - при отключенной регистрации все таки один зарегился. Айпи адрес я не увидел (в логах прошелся поиском по регистрации wp-register.php, по имени пользователя и почты - всё чисто). но вот его профиль: chromepros(это мыло)operabrow(точка)com хттп://chromebrowser(точка)ru SigeesserneDR Sigeesserne - это имена
Думаю это тоже связано с атакой. Но как он зарегился - в движке "Любой может зарегистрироваться" - галка снята
