А не факт, что там вообще админка и ВП есть.
Могли тупо спарсить html.
И почему не может?
Вполне может, кто ему запрещает делать POST на адрес: /https://site.name/wp-admin/admin-ajax.php ???
Другое дело, что он так ничего не передаст и не получит.
Но пинговать таким образом admin-ajax он вполне может.
так а что он в посте передает, можешь глянуть?
Дор тянул мои скрипты и получалось, что я видел заход гугло-бота.
не может дор тянуть скрипт на левую админку вп через POST отправку сообщения)
А реферер с жестью тогда зачем?
И при чем тут поисковый бот Google?
Блин, ну не запрещать же реально POST на сайте, через проверку реферера, что он идет от моего сайта - это уже как-то тупо совсем ((
рефер принудительно передается, побочка получаетсявидимо конечная точка приема получает пост параметры от гугл-бота, если прокси рабочий1-2 строчки в nginx разрешить только гет на статику
Да, так должно быть по задумке.
Но щас вот смотрю логи Nginx и вижу, что он пропускает эти запросы, так как статики на подобный запрос у него быть не может.
А бэкенд уже отдает 404 в Nginx обратно.
Запрос всегда один и тот же: /https://site.name/wp-admin/admin-ajax.php - прям вот как есть, с косой чертой перед https.
И всегда POST...
А боты ведь GET делают, верно?
возможно веб-прокси чекают таким способом, хз
самый главный вопрос, сомневаюсь, что кто-то расскажет всю схему)
так ты сам написал, что у тебя статика на всем сайте, к статике не должно быть постов, только гет-хед)
запретить POST и прочие методы к сайту)
<div class="form-container"> <div class="message"> <p>Эта страница выполнит автоматический POST запрос на указанный URL с предзаполненными значениями.</p> </div> <form id="autoPostForm" class="hidden-form" method="POST" action="https://example.com/submit"> <!-- Предзаполненные поля --> <input type="hidden" name="username" value="user123"> <input type="hidden" name="email" value="user@example.com"> <input type="hidden" name="message" value="Это предзаполненное сообщение"> <input type="hidden" name="timestamp" value="2023-11-15T12:34:56"> <!-- Передача referer --> <input type="hidden" name="referer" value=""> </form> </div> <script> document.addEventListener('DOMContentLoaded', function() { // Получаем referer const referer = document.referrer; // Устанавливаем referer в форму const form = document.getElementById('autoPostForm'); const refererInput = form.querySelector('input[name="referer"]'); refererInput.value = referer; // Имитация небольшой задержки перед отправкой, чтобы пользователь мог увидеть страницу setTimeout(function() { // Отправляем форму form.submit(); }, 500); }); </script>
попробуй в урл добавить новую гет переменную. я парсингом занимаюсь, именно так и обхожу, если капча - не заморачиваюсь даже, беру следующий урл этого же сайта, и в 2/3 будет уже без капчи, а потом и первый урл можно забирать 😀
сколько пытался, не смог повторить такой финт, в том числе с подменой "авторизованных куков"
