Поддержка Проблемы и решения Дополнительные меры безопасности

  • Здравствуйте. Подскажите, пожалуйста, как правильно заблокировать через .htaccess нежелательные сущности в виде ботов и взломщиков?
    Когда создавал сайт, уделил изучению вопросов безопасности, наверное, больше времени, чем seo, дизайну и т.д. Т.е. все азы в духе «скрыть/отключить/не использовать…» и т.п. соблюдаю, но старался не нагружать .htaccess простынями всевозможных правил на все случаи жизни.
    Cегодня впервые получил уведомление с сайта, что был превышен лимит попыток авторизации и такой-то ip заблокирован на столько-то минут. В логах «такой-то ip» и ahrefsbot идут в одной связке. Получается, к моим логину и адресу страницы входа (нестандартным и известным только мне) доступ получен-таки был. Админа сменил, добавил в .htaccess правило для этого и еще нескольких ботов:

    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTP_USER_AGENT} .*bingbot.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*ahrefsbot.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*ucrawlr.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*xovibot.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*facebookexternalhit.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*openstat.ru.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*linux.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*mj12bot.* [NC]
    RewriteRule .* - [R=403,L]
    </IfModule>

    Но вот смотрю — тот же bingbot после этого продолжает успешно шастать по сайту. Что еще можно сделать/дописать в .htaccess? По IP, наверное, не вариант, там динамический.
    Интересуют также не широко известные способы, которые позволяют узнать логин админа и адрес страницы входа (вроде все известные и описанные ранее в Интернете нейтрализовал), точнее, меры против таких способов. Спасибо.

Просмотр 15 ответов — с 1 по 15 (всего 77)
  • если читали темы на wp-kama, я там писал о таких вопросах но так получилось найти только частичный ответ.
    1 от переборов хороше бы использовать fail2ban но я не понял как устанавливать и можно ли поставить на простой хост за 150р и не стал замораяиваться
    2 страницу входа вероятно нашли по вашим комментам на сайте, мне в одной из тем пришлось ковырять в ручную ( даже не помню что удалял) так как тема писала логин который нужно показывать а в коде были ссылки на вход ( тоже не стандартный) и мой логин.
    3 скрыть страницы архивов авторов и /?=1 в интернете полно

    4 вчтречал в интернете код бана / когда идет перебор то при определенных урл к примеру сайт.ру/вп (который любят шустрить боты ) то срабатывал редирект на сайт.ру/бан (по адресу был код бана) и ір писался в htaccess — вы даже не представляете как он засрался htaccess

    5 мое решение ( пока не реализовал еще) есть простые плагины типо ВП БАН — так вот я хочу чтоб код из пункта 4 дописывал ip не в htaccess а в базу данных этого плагина.

    раньше часто мониторил логи — сейчас чуть по меньше но всеравно наблюдаю переборы по одним и тем же урл, а так бы по этим переборам/урл сразу в бан бы отправлял автоматом . ЕСЛИ КТО-ТО ВСТРЕЧАЛ ПОДОБНЫЕ ПЛАГИНЫ с минимумом функций был бы рад посмотреть по вашей ссылке

    в планах реализовать такое через плагин БАНА плагин РЕДИРЕКТА и кода редактирования базы данных

    • Ответ изменён 2 года, 3 месяца назад пользователем kolshix.
    • Ответ изменён 2 года, 3 месяца назад пользователем kolshix.
    Модератор SeVlad

    (@sevlad)

    wp.me/3YHjQ

    (вроде все известные и описанные ранее в Интернете нейтрализовал), точнее, меры против таких способов.

    Достаточно запретить доступ к wp-login.php всем, кроме себя и не грузить сайт советами из интернетов.

    я там писал

    В подобных случаях стоит давать ссылки. (только акисмет вп-каму чего-то не любит. Не пугайтесь этого, не дублируйте, модераторы вытащат пост)

    fail2ban но я не понял как устанавливать и можно ли поставить на простой хост за 150р

    Это ПО устанавливается на ОС, что естественно на шареде для юзера недоступно, но у некоторых хостингов уже может быть установлено.

    скрыть страницы архивов авторов и /?=1

    Первое не всем может быть нужно второе бесполезно — ВП и так 301 делает.

    вы даже не представляете как он засрался htaccess

    В htaccess ничего автоматом попасть не может. Если же Вы разрешили это делать какому-то плагину, то это как минимум дыра в безопасности.

    мое решение ( пока не реализовал еще) есть простые плагины типо ВП БАН — так вот я хочу чтоб код из пункта 4 дописывал ip не в htaccess а в базу данных этого плагина.

    Не стоит перекладывать на движок и вообще пхп работу сервера (это его работа — фильтровать трафик).
    Это будет создавать нагрузку. Нагрузку, которую можно не создавать.
    Достаточно занести запретить вредных ботов (в хтацессе если на шареде) и мониторить нагрузку, смотреть логи на предмет новых «вредителей».

    @kolshix,
    на kama чего только не читал, не помню этого, не по защите в основном.
    1. От переборов плагин стоит и сработал исправно. Думаю вот второй пароль поставить на сам доступ к авторизации. Ну а ваш вариант — как раз на шареде никак.
    2. Про комменты — это то, о чем я писал «азы». Т.е. уничтожен вывод логинов через «посмотреть код».
    3. Те же азы, сделано сразу после инсталляции движка.
    4. Не сталкивался. Но если засирается, наверное и не надо))
    5. Как вариант, норм, да. Готового решения не встречал (правда искал по плагинам не сильно).
    У меня стояли раньше монстры секьюрити, всем известные, но какая-нибудь жопа вечно с ними, то все супер, то не зайти в админку, то еще что-то.

    @sevlad,
    запретить доступ к wp-login.php всем, кроме себя
    как именно? админка и так скрыта для всех не-меня через функцию, рега отключена, слаги выхода-входа измененные, поэтому даже на «выйти» url не палит ссылку, а по айпи не могу, динамический.

    Модератор Yui

    (@fierevere)

    ゆい

    RewriteCond %{REQUEST_URI} ^/wp-login.php
    RewriteCond %{HTTP_COOKIE} !secretAgent=007
    RewriteRule .* - [L,R=404]

    будет выдавать 404 вместо wp-login.php всем, у кого нет куки secretAgent с значением 007

    поставить можно в редакторе кук браузера или html файликом расположенным на хосте с таким вот заголовком внутри <head>
    <meta http-equiv="set-cookie" content="secretAgent=007;">

    PS: а вообще это достаточно бесполезная паранойя наверное, времени тратится много, неудобства ощутимы, да и помогает как-то не очень

    Модератор SeVlad

    (@sevlad)

    wp.me/3YHjQ

    как именно?

    Самое простое — через доступ по IP или доп. серверную авторизацию.

    и так скрыта для всех не-меня через функцию,

    Не скрыта, а изменен адрес входа. Это малоэффективно и нагрузка.

    Это будет создавать нагрузку

    сраные переборщики уже сидят в печенках, одно и тожк почти каждый день, а плагин бана по ip уже стоял, но он на 99% безполезен так как руками долго работать, но главное что там есть это поля блока по юзеру и создание сообщения — я в сообщении написал » что якобы сайт неработоспособен»

    да и какая там нагрузка, было от переборщиков от 300 штук в день 404 ошибок (а это нагрузка и запросы в бд) а сейчас будет
    1 редирект на страницу бана
    2 запрос на изменение бд и внесение ip в бан
    3 вывод сообщения о неработающем сайте

    плагин ВП БАН по ботам юзерагентам насчитывает 150 000 запросов на сайт а это при том что сайт не большой и сколько 404 бы было.

    когда руки дойдут то поставлю на «сайт. ру/вп-логин/» отсылку на бан.

    У меня стояли раньше монстры секьюрити, всем известные, но какая-нибудь жопа вечно с ними, то все супер, то не зайти в админку, то еще что-то.

    это точно — как чтото поменяет потом ищешьчто не так. хотя на одном сайте оставил ради прикола

    • Ответ изменён 2 года, 3 месяца назад пользователем kolshix.
    • Ответ изменён 2 года, 3 месяца назад пользователем kolshix.
    • Ответ изменён 2 года, 3 месяца назад пользователем kolshix.
    Модератор SeVlad

    (@sevlad)

    wp.me/3YHjQ

    ) а сейчас будет

    работать пхп скрипт, делая запросы в базу, сравнивая и тд.. +ещё сам ВП с кучей всего.

    работать пхп скрипт, делая запросы в базу, сравнивая и тд.. +ещё сам ВП с кучей всего

    как руки дойдут буду проверять на нагрузку, в идеале бы блокировка на неделю с последующим изьятием ip адреса.

    короче всеравно придется решать вопрос с переборщиками и думаю нагрузки не избежать, но шурстить по сайту всеравно буду отучать. А то развелось школьников , только нагрузку делают, если серьзный дядька возьмется то конечно найдет дыру , особенно с моими корявыми заплатками))

    Модератор Yui

    (@fierevere)

    ゆい

    переборщики уже сидят в печенках

    а есть еще xmlrpc.php , который не закрыть и от которого не избавиться, и защиту хитрую не поставить, если вам нужны мобильные приложения или JetPack

    и REST API, будут лезть и туда

    xmlrpc.php

    к счастью не использую, к сожалению не владею информацией
    могу предположить что файл можно переименовать — но придется наверно весь движок править ( но это так все теория )

    Модератор SeVlad

    (@sevlad)

    wp.me/3YHjQ

    в идеале бы блокировка на неделю

    КТО должен блокировать? И как Вы это представляете на практике? Да ещё и время отслеживать..

    Что я Вам пытаюсь донести — не движок и не пхп этим должны заниматься, а сервер. ДО того как запуститься движок. ДО того как он примет данные и начнёт их обработку. Ибо это уже нагрузка. И чем больше входящих — тем она выше.
    В идеале этим должны заниматься file2ban или что-то подобное. Серверное ПО.
    Если нет такого, тогда хтацесс — это часть апача. 99% проблем для большинства сайтов можно решить на этом уровне.

    «самая большая проблема людей, страдающих параноей, что они не осознают что больны» (с)

    Модератор Yui

    (@fierevere)

    ゆい

    могу предположить что файл можно переименовать — но придется наверно весь движок править

    вообще то его удаляют банально и ничего править не нужно
    либо отключать на любом уровне, лучше всего Deny в .htaccess
    но (!) если вам нужны мобильные приложения или JetPack значит отключить его не получится

    «самая большая проблема людей, страдающих параноей, что они не осознают что больны» (с)

    так оно и есть, могу сравнить с соринкой в кармане — со временем либо выкину куртку (из-за устаревания) либо рвзорву карман и достану соринку ибо я так решил и ее там не должно быть.
    Как не крути (в моем случае) начинал с
    》хостингера жалко было 150 р
    》потом понял что такое бесплатный хостинг
    》 потом заказал за 50р
    》 понял что за 50р хостингов не бывает
    》 заказал и потестил от100 до 500 р и определился с ценой
    》 пришел к мысли что нужен ВПС
    》 постепенно склоняюсь к мысли что нужен отдельный сервер

    Если нет такого, тогда хтацесс — это часть апача. 99% проблем для большинства сайтов можно решить на этом уровне

    пока есть желание обойтись только шаредом, особенно когда есть ресурсы и цена устраивает — теряю в мощьности но выигрываю в отсутствии траты времени на ВДС

    Модератор SeVlad

    (@sevlad)

    wp.me/3YHjQ

    пока есть желание обойтись только шаредом

    Так и правильно. Не нужно ничего изобретать лишнего. 99% закрывается банально хостингом. Его средствами или даже им самим (тот же отсев настырных ботов может и хостинг производить).

Просмотр 15 ответов — с 1 по 15 (всего 77)
  • Тема «Дополнительные меры безопасности» закрыта для новых ответов.