Поддержка Проблемы и решения Как закрыть доступ к системным папкам?

  • Здравствуйте,
    У меня на сайте в очередной раз был превышен лимит хостинга по нагрузке на БД. Сегодня и вовсе с утра приходит по сообщению раз в несколько секунд о блокировке того или иного IP из-за слишком большого количества попыток входа (установлен плагин Better WP Security, также установлен плагин Wordfence Security). В последний раз такая лавина обращений была около месяца назад из-за DDOS-атаки на хостера, но сейчас у него таких проблем нет. Особых аномалий специалист в техподдержке не обнаружил, порекомендовал запросить и изучить логи. В то же время он увидел обращения и к системным файлам. Специалист сказал, что .htaccess можно настроить так, чтобы к системным файлам мог обращаться только заданный IP, а всем остальным выдавалась ошибка, причем это настройка для WP своя. Вопросы такие:

    1) Это можно сделать средствами уже установленных плагинов Better WP Security и Wordfence Security, или какого-то другого плагина? В своих плагинах я нашел только возможность блокировки заданных IP, а не блокировки обращения к системным папкам всех IP, кроме моего.

    2) Если нет — как это можно сделать вручную, существуют ли образцы кода?

    3) Как это сделать, чтобы при этом не запретить и не затруднить индексацию сайта поисковыми роботами?

    Спасибо.

Просмотр 15 ответов — с 31 по 45 (всего 69)
  • Модератор Юрий

    (@yube)

    /wp-admin/admin-ajax.php — 200 OK
    /wp-admin/ — 403 Forbidden
    /wp-admin/admin.php — 403 Forbidden
    /wp-admin/install.php — 403 Forbidden

    Для чужих всё OK. Если еще и Вас пускает, то совсем тип-топ.

    Спасибо, Юрий. Да, меня к сожалению не пускает и не позволяет добавлять новые записи. Буду звонить в техподдержку хостера.

    Модератор Юрий

    (@yube)

    Да, еще стоит в корневой .htaccess добавить

    <Files wp-login.php>
    order deny,allow
    deny from all
    allow from ваш_ip
    </Files>

    Модератор Юрий

    (@yube)

    У Вас комменты разрешены? Если да, посмотрите в админке на IP комментаторов. Если у всех 127.0.0.1 (или другой, но одинаковый), то разрешаю надрать хостеру уши и уволить без выходного пособия по статье «полное служебное несоответствие» 🙂

    Юрий, спасибо, пропишу.

    Как посмотреть IP комментов не совсем понял. Вы имеете в виду лог-файлы? В консоли указан IP одного из спам-комментов, по другим указаны сайты. А какое комменты имеют отношение к хостеру? Спам шел лавиной, пока не установил плагин Captcha, сейчас бывают изредка. Еще есть Self Ping, от которого я так и не избавился.

    Модератор Yui

    (@fierevere)

    ゆい

    Как посмотреть IP комментов не совсем понял

    тык

    ник
    cайт
    адрес-почты
    IP

    если IP разные — нормально
    если все одинаковые — ваш хостинг-провайдер &@&^^## !

    комменты просто так , для диагностики того работает ли mod_rpaf у них, или nginx который у вас, точнее у них, действительно стоит на фронтэнде не передает инфо об айпи клиента

    Странно, но меня туда не пускает, причем логин/пароль правильные. Когда неправильные, меню трясется, а тут просто ничего не происходит. При этом в папку /wp-admin захожу без проблем. Файл .htaccess из папки wp-admin в настоящее время удален.

    Модератор SeVlad

    (@sevlad)

    wp.me/3YHjQ

    Странно, но меня туда не пускает,

    В ссылку Yui ошибочо вкрался лишний слеш 😉 Уберите его и всё должно получится.

    тут просто ничего не происходит

    Такого не бывает. Что-то всё равно «происходит». Что?

    Спасибо, не сообразил ))

    Yui, я как раз про это говорил:

    В консоли указан IP одного из спам-комментов, по другим указаны сайты. А какое комменты имеют отношение к хостеру? Спам шел лавиной, пока не установил плагин Captcha, сейчас бывают изредка. Еще есть Self Ping, от которого я так и не избавился.

    Раньше, насколько я успел заметить, спам шел с разных адресов.

    Модератор Yui

    (@fierevere)

    ゆい

    сайты — опционально
    IP там всегда должен быть
    или 127.0.0.1 — плохо
    или адреса подсети 31.31.204.0 (или какой-то другой _одной_ подсети), тоже плохо
    или разные (но всегда цифровые) IP адреса — норма

    Тем не менее, в спам-папке с тремя комментами только у одного из них указан адрес, и он другой — 58.49.50.234. У двух других указаны только сайты (post-2012.com/bags2013/louis-vuitton-592.html и www.chaussuresclhommepascher.com). Реальный комментарий есть, у него обычный IP.

    Модератор Yui

    (@fierevere)

    ゆい

    ну тогда mod_rpaf похоже работает и хостера не стоит пока сдавать на мыло,
    а вот вопрос им задать почему не работает правило Allow from
    в .htaccess все равно стоит

    Мало ли, может какие-нибудь скобочки-кавычки добавили. Надо просто, например, так

    Стыдно признаться, но Юрий оказался прав — я вставил предложенный им код вместе с IP, заключенным в ‘#’ — почему-то был уверен, что потом убрал их. Сейчас все в порядке, с моего IP пускает, с других нет. Еще раз всем большое спасибо. С позволения модераторов тему пока как решенную не отмечаю, хочу понять какие будут результаты.

    Вообщем, результат нулевой. Несмотря на запрет чтения www\htdocs\wp-admin\.htaccess:

    Order deny,allow
    Deny from all
    Allow from мой IP
    <files admin-ajax.php>
    Allow from all
    </files>

    а также несмотря на настройки www\htdocs\.htaccess:

    <files .htaccess>
    Order allow,deny
    Deny from all
    </files>

    <files readme.html>
    Order allow,deny
    Deny from all
    </files>

    <files readme.txt>
    Order allow,deny
    Deny from all
    </files>

    <files install.php>
    Order allow,deny
    Deny from all
    </files>

    <files wp-config.php>
    Order allow,deny
    Deny from all
    </files>

    а также несмотря на активированные плагины Better WP Security и Wordfence Security, в очередной пошла лавина сообщений «хост… был заблокирован… из-заслишком много попыток входа» — по одному раз в несколько секунд.

    Напомню, что запрет на чтение папки wp-admin с других IP работает. Ну как его обходят все эти взломщики, боты и прочая нечесть?

    а также несмотря на активированные плагины Better WP Security и Wordfence Security, в очередной пошла лавина сообщений «хост… был заблокирован… из-заслишком много попыток входа» — по одному раз в несколько секунд.

    Так вы совсем не то блокируете.. Блокируйте wp-login.php, который находится в корне и отвечает за вход/регистрацию «ботов» :).

Просмотр 15 ответов — с 31 по 45 (всего 69)
  • Тема «Как закрыть доступ к системным папкам?» закрыта для новых ответов.