Тьфу, сам ошибся. Много опечаток, когда с ноута пишу, простите грешного.
А так, да, небольшая куча рерайтов в самом NGINX, запрещающих прямой доступ куда-либо к системным файлам/папкам, да плюс кучка хуков в WP, меняющих структуру начиная с урлов, и заканчивая классами и прочей дребиденью: кастомный меню-вокер, к примеру, отсутствие такой фигни в классах и коде, как "wp-image" и т.д. и т.п. Даже отдельная функция для убирания гребанного WPSEO комментария в хеде ("Этот сайт юзает плагин Joast.... траляля").
Всё перелопачено. :)
Стоит заметить, что я жуткий противник плагинов, и если их юзать много, то с рерайтами будут проблемы, если не менять исходники этих самых плагинов (но тогда геморрой с обновлениями). Использую только самое необходимое, что не могу написать сам. :) WPSEO тому пример.
Ну, и!? Когда и для чего файл создаётся средствами PHP?!
Как идёт обращение к админке?!
Если ты внимательно бы прочитал, то понял, какую ерунду тут пишешь. А если реально не понимаешь, то бежать от таких хостеров надо. Бежать без оглядки.
Но я уверен, что ты просто не прочитал внимательно и не вник, что там и зачем юзает PHP, и как потом работает NGINX. ;)
Я сторонник "если делаешь, то делай капитально" и полной обфускации. ;)
И, да, мне "по фану". :D---------- Добавлено 18.02.2014 в 12:24 ----------
Горчичник по тебе плачет, ибо читаешь невнимательно! ;)
ЕЩЁ РАЗ ЧИТАЙ первый пост.
Потрудись, пожа-а-а-а-алуйста. ;)
И не будешь так позорно потом выглядеть рассуждая про фронт и бэк. ;)
Чукча писатель, а не читатель?
Кто там и чего дёргает?!
У меня отдаётся просто ответ средствами CMS: "страница не найдена, мож поиском попробуете воспользоваться?". На скриншоте обратите внимание на пути к тому же CSS -- там не будет признаков WP.☝
И это -- сайт на WP.
Спасибо. ;)
Видимо, кроме меня больше никто не заморачивается полным закрытием админки и сокрытием всех следов CMS... Да, я маньяк. :D
Страница не найдена. О_о
Ещё? :)
Имеешь в виду вот это?
Опять мне разницу объяснять? :) Я уже начинаю уставать. :)
1. Любой реальный юзер пройдёт к wp-admin.
2. Не катастрофично, но есть боты, которые такой способ схавают.
3. Проверка такая ЗНАЧИТЕЛЬНО затратнее, чем проверка на наличия определённого файла. Хотя и мала в целом -- в вариант с куками выдержит также немаленький напор ботов.
Да, каюсь, опечатки. Надо бы поправить. ;)---------- Добавлено 18.02.2014 в 11:46 ----------
Нет, просто холерик и чересчур импульсивный. :)
Характер такой. И недостаток и достоинство в определённых моментах. :)
Обсуждений и кучи пустой болтовни море. Нетривиальность в том, что такого решения я нигде не видел. И оно отнюдь не похоже на решение с куками. По одной простейшей причине (пять повторяюсь) -- я не хочу, чтобы кто-то вообще видел админку. И здесь куки не подходят. Если вам оно не надо -- юзайте куки на здоровье. ;)
Да хоть упарсите мой сайт -- никаких признаков WP не найдёте. Сорри, но показать урл не могу, так как не привык светить свои сайты.
Чтобы понять как и чего -- погуглите тему для WP "Roots Theme" -- идею я взял оттуда. Никаких стандартных путей в исходном коде вы не найдёте. Даже типичных для WP классов нет. ;)
Моё решение только для отражения массового брута и закрытия от реальных зевак.
Естественно, я в курсе, что если кто-то захочет реально повалить сайт, то почти ничего не спасёт (уж об обсуждаемом решении и речи быть не может). Я всё понимаю.
Да, совсем похожее. :D Тупой allow/deny -- это не решение проблемы. Это -- кривой костыль для инвалида.
Это точно также, как сравнение Лады Калины и Порше Кайен -- обе машины на 4-х колёсах и едут -- одинаково!
Да, конечно. Опять не читаем.
Давай-давай, конечно! К чему лишние вопросы?
Почитай выше внимательно, почему мой WP не так легко определим. ;)
Дело совсем не только в wp-admin/login.
Я нигде не сказал, о том, что он пройдёт дальше авторизации. ;) Факт наличия этой самой авторизации даст понять, что перед нами WP.
Тьфу, естественно, что локейшены в блоках server надо прописывать. Прописную истину забыл в примере указать. Не отредактируешь уже первое сообщение...
Опять читаем через строчки и невнимательно? :)
Я, вот, старался, описывал, а вы даже прочитать внимательно один раз не можете. Обидно даже.
Таки ответьте мне, когда в моём примере (и сколько раз) создаются файлы с IP, и имеют ли к ним доступ и возможность создания сами боты? ;)
1к в минуту мой вариант отобьёт АБСОЛЮТНО легко и непринуждённо даже на VPS-ке за 5 баксов. И даже банить никого не надо. ;) Имитировал такую нагрузку на самом дешевом дроплете Digitalocean -- сайт вполне был отзывчив и работоспособен. 1к в минуту -- цифра немаленькая, не? :)
Разницу с моим подходом смотри:
1. Нужно делать htpasswd.
2. Нужен лишний логин/пароль.
3. ЛЮБОЙ зайдёт в wp-admin и ему предоставят инфо, что "ДА, ЭТО WORDPRESS -- ДАЙ СВОЙ ЛОГИН/ПАРОЛЬ". Прямо-таки афиша с надписью: "(тр/x)а(х/к)ни меня!". :D
Это только на первый взгляд. ;) ---------- Добавлено 17.02.2014 в 22:10 ----------
Нагрузка от проверки наличия файла только для локации определёной также стремиться к нулю. И она меньше, чем авторизация с последующей проверкой. ;) ---------- Добавлено 17.02.2014 в 22:13 ----------
Зачем их перекраивать? ;) Чуток редиректов простейших и отказ от убогих плагинов. Относительные урлы.
Для относительного примера погуглите тему "WP Roots Theme". Идея оттуда взята. ---------- Добавлено 17.02.2014 в 22:13 ----------
Пока что не услышал в ответ ничего такого (с аргументами верными), чтобы это было именно так. ;)
Пока что выглядит именно как "я не понял чо это, но автор -- сами_знаете_кто". :)
Ничего, я не девочка и не малолетка -- всё понимаю. ;)
