А для чего в этих CMS сделана функция логина? Вот всё это и блокируется, профили в инет магазине на WP, комментирование от аккаунта, вход для авторов/редакторов. Логин в CMS не только для админа.
Это вообще не должно даже рассматриваться как решение, интернет-магазины с профилями пользоватлей наверно очень рады ;)
Для nginx с куками, в ИЕ пашет, возвращает код 200 (думаю ботам всё равно 403 или 200, брутить не перестают):
location ~* /(wp-login\.php|administrator|admin\.php) { set $humantest 0; if ($http_cookie !~* "humans=fucking_love_cookies") { set $humantest 1; } if ($args ~* (callback|logout|lostpassword)) { set $humantest 0; } if ($humantest = 1) { add_header Content-Type text/html; return 200 "<html><body><script>document.cookie='humans=fucking_love_cookies;path=/';location.reload();</script></body></html>"; }}
Ну этот осёл как всегда живёт в своём мирке :)
Можно так обойти:
RewriteCond %{HTTP_COOKIE} !humans=fucking_love_cookiesRewriteCond %{QUERY_STRING} !(callback|logout|lostpassword)RewriteRule ^(wp-login\.php|administrator|admin\.php)$ /human.htm [L]
А html код
<html><body><script>document.cookie='humans=fucking_love_cookies;path=/';location.reload();</script></body></html>
перенести в файл human.htm
P.S. Можно и через nginx резать, как-то так:
location ~ /(wp-login\.php|administrator|admin\.php) { if ($http_cookie !~* "humans=fucking_love_cookies") { add_header Content-Type text/html; return 200 "<html><body><script>document.cookie='humans=fucking_love_cookies;path=/';location.reload();</script></body></html>"; }}
3 часа назад пришло, указанный файл появился, пришлось удалять)
А мой хостер firstvds взял мой код для блокировки по IP отсюда и заблочил глобально все админки 😂 Радикалы просто. Снизить нагрузку можно ещё убрав логи например и минимизировав размер 403 документа:
<Location ~ "/(wp-login\.php|administrator|admin\.php)"> ErrorLog "/dev/null" AccessLog "/dev/null" ErrorDocument 403 "-" Order deny,allow Deny from all Allow from 11.22.33.44</Location>
Но лучше бы они взяли код с куками, у меня после него ни одной попытки залогиниться от бота не было, всем 403 отдаётся, зато логин и админка работают для юзеров:
RewriteCond %{HTTP_COOKIE} !humans=fucking_love_cookiesRewriteCond %{QUERY_STRING} !(callback|logout|lostpassword)RewriteRule ^(wp-login\.php|administrator|admin\.php) - [F,L]ErrorDocument 403 "<html><body><script>document.cookie='humans=fucking_love_cookies;path=/';location.reload();</script></body></html>"
для этого достаточно, чтобы админа звали не admin/administrator, у меня брутят преимущественно эти логины, а это бесполезно)
GamletOrtikov, без разницы
bohdan_1991, и всем фрилансерам выдал эти 30+ символьные фигни?)
Можно в AuthName прописать логин и пароль, чтобы человек смог зайти, а боты нет.
GamletOrtikov, это блокирует всем логин в профиль и админку WP, кроме указанных IP. Устраивает ли это Вас только Вам известно, другие защиты тоже есть, способ с куками ранее был описан.
В этом и смысл 🤪
IP свой внешний прописать надо. Это конечно радикальная мера, если на сайтах никто не регается.