Поддержка Проблемы и решения Дополнительные меры безопасности

  • Здравствуйте. Подскажите, пожалуйста, как правильно заблокировать через .htaccess нежелательные сущности в виде ботов и взломщиков?
    Когда создавал сайт, уделил изучению вопросов безопасности, наверное, больше времени, чем seo, дизайну и т.д. Т.е. все азы в духе «скрыть/отключить/не использовать…» и т.п. соблюдаю, но старался не нагружать .htaccess простынями всевозможных правил на все случаи жизни.
    Cегодня впервые получил уведомление с сайта, что был превышен лимит попыток авторизации и такой-то ip заблокирован на столько-то минут. В логах «такой-то ip» и ahrefsbot идут в одной связке. Получается, к моим логину и адресу страницы входа (нестандартным и известным только мне) доступ получен-таки был. Админа сменил, добавил в .htaccess правило для этого и еще нескольких ботов:

    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTP_USER_AGENT} .*bingbot.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*ahrefsbot.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*ucrawlr.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*xovibot.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*facebookexternalhit.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*openstat.ru.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*linux.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*mj12bot.* [NC]
    RewriteRule .* - [R=403,L]
    </IfModule>

    Но вот смотрю — тот же bingbot после этого продолжает успешно шастать по сайту. Что еще можно сделать/дописать в .htaccess? По IP, наверное, не вариант, там динамический.
    Интересуют также не широко известные способы, которые позволяют узнать логин админа и адрес страницы входа (вроде все известные и описанные ранее в Интернете нейтрализовал), точнее, меры против таких способов. Спасибо.

Просмотр 15 ответов — с 16 по 30 (всего 77)
  • Модератор Yui

    (@fierevere)

    ゆい

    》 пришел к мысли что нужен ВПС
    》 постепенно склоняюсь к мысли что нужен отдельный сервер

    Отдельный сервер нужен высоконагруженному проекту, потому что дальнейший шаг обычно расширение до нескольких серверов в стойке и разделение задач при масштабировании

    VPS — если есть желание учиться, пробовать, наступать на грабли и пробовать снова

    Если не хватает опыта, то у шареда есть ключевое преимущество — там есть админы и поддержка, которые не дадут «вашему хозяйству» стать рассадником спама, вирусов и частью тех самых ботнетов, против которых вы так активно выступаете.

    большенство хостингов слабы к обузам и адулт контенту, да и проверять шаред приходится на своем опыты и везде как всегда возникают неописанные ограничения. без ВПН никак.
    последний раз был на айхоре и их месяц моросило и вырубали сайт, решил тестонуть другой хост, все бы ничего на новом было хорошо , но он был ограничен на 30 одновременных соединений или что то еще короче сайт падал каждые 20 мин, как раз во время сканирования гугл и еще были нагрузки из-за крон процессов. короче свалил я с хостинга хотя и подзаморочился с оптимизацией.

    На айхоре даже не задумывался ни о какой оптимизации и до сих пор не задумываюсь, там ресурсов на 150 р прилично выделяют.

    • Ответ изменён 2 года, 3 месяца назад пользователем kolshix.
    • Ответ изменён 2 года, 3 месяца назад пользователем kolshix.

    большенство хостингов слабы к обузам и адулт контенту

    абузоустойчивый хостинг стоит в 3-4 раза дороже обычного. а использовать обычный хостинг с абузным содержимым чревато.

    последний раз был на айхоре и их месяц моросило и вырубали сайт,

    что означает «моросило»?

    Модератор SeVlad

    (@sevlad)

    wp.me/3YHjQ

    большенство хостингов слабы к обузам и адулт контенту

    Это не от типа услуг зависит, а от политики страны расположения серверов. Но мы-то тут вроде о безопасности говорим, а не об этом.

    АПД. И кстати, тот же айхор удалит ВПС «на следующие календарные сутки» после отключения (по не оплате или др. причине.) (SLA, pdf), в то время как на шаредах данные не менее месяц лежат.

    • Ответ изменён 2 года, 3 месяца назад пользователем SeVlad. Причина: апд
    Модератор Yui

    (@fierevere)

    ゆい

    как всегда возникают неописанные ограничения. без ВПН никак.

    а на VPS у вас иммунитет ко всему ? также «настучат» могут, причем хостер будет отключать весь сервер, если не отреагируете вовремя
    Разве что из за «соседа» на том же IP адресе попавшего в реестр проблем не отгребете

    кстати причем тут ВПН ?

    он был ограничен на 30 одновременных соединений

    а на VPS/Dedi вы ограничены памятью, особенно на VPS, ну или платите больше, за память, 30 одновременных соединений на LAMP prefork вам с успехом выжрут больше гигабайта.

    • Ответ изменён 2 года, 3 месяца назад пользователем Yui.

    @fierevere,
    спасибо большое! Это еще не делал.

    @sevlad,
    да, точно, ошибся, та функция для админ-панели только.
    Через ip не могу, написал выше — динамический, а серверная — пока без понятия с чем это едят. Поизучаю, спасибо.

    @tuxfighter,
    ))) оно так, но в данном случае лучше паранойя, чем потом кусать локти)
    Вон сколько топиков «помогите удалить странный код», «после вирусов не могу..», «взломали, что делать?»…

    АПД. И кстати, тот же айхор удалит ВПС «на следующие календарные сутки» после отключения (по не оплате или др. причине.) (SLA, pdf), в то время как на шаредах данные не менее месяц лежат.

    справедливости ради — это про тестовые бесплатные vps, которыми попользовались и не оплатили — держать их включенными лишние сутки было бы глупо.

    но да, все vps-хостинги удаляют неоплаченные сервера чрезвычайно быстро. как бы простой оборудования. с shared-хостингами проще, так как там только место на диске тратится при неоплате.

    что означает «моросило»?

    было арендовано нескольько шарид хостингов — один работал постоянно, на другом различные ошибки подключения, вот и выделил себе время для теста работы другого хостингаа в итоге вернулся на старый

    абузоустойчивый хостинг стоит в 3-4 раза дороже обычного.

    это понятно, вот только за что платить, в 4 раза дороже за то что они просто проигнорят жалобу и дадут хостинг в 2 раза слабее.

    я общался с адекватной поддержкой — они говорят что просто попросят в 2-3х дневный срок удалить объект жалобы либо переехать — на других просто уйдешь в бан без каких либо объяснений.

    • Ответ изменён 2 года, 3 месяца назад пользователем kolshix.

    это понятно, вот только за что платить, в 4 раза дороже за то что они просто проигнорят жалобу и дадут хостинг в 2 раза слабее.

    платят за то, что ваш сайт будет работать несмотря на абузы. обычный же хостинг моментом не только остановит работу вашего сайта, но и вообще его удалит к черту. и в случае чего — он сдаст все ваши данные компетентным органам.

    если вы зарабатываете деньги на абузном контенте, то как бы вынуждены платить за абузоустойчивый хостинг. таковы правила игры.

    Модератор SeVlad

    (@sevlad)

    wp.me/3YHjQ

    Через ip не могу, написал выше — динамический,

    Можно указать свой сегмент. Если из него атак нет, то нормально 🙂 А можно и менять IP по ФТП перед работой в админке.

    а серверная — пока без понятия с чем это едят.

    гуглить «Базовая (http) авторизация».
    В панели хостера это может называться «пароль на папку». Можно поставить пароль на wp-admin — в хтацессе появиться запись с ней. Вот потом вручную поменять wp-admin на wp-login.php.
    Если есть пароль на файл — можно сразу на wp-login.php назначать.

    Вон сколько топиков «помогите удалить странный код», «после вирусов не могу..», «взломали, что делать?»…

    99% причин «вирусов» и «взломов» — использование тем и плагинов с помоек, а не из оф.каталога. Тут никакие защиты не помогут.

    Модератор SeVlad

    (@sevlad)

    wp.me/3YHjQ

    это про тестовые бесплатные vps, которыми попользовались и не оплатили

    Именно, что всё (не только ВПС, кстати). В п5,7 СПИСОК что именно может быть удалено для услуги ВПС. См и на сёрче 453-456.

    Модератор Yui

    (@fierevere)

    ゆい

    Flector, давно не смотрите их новости,

    Внесены изменения
    
    В Договоре-оферте
    
    Новая редакия пункта 3.2.5.:
        В момент окончания тестового (бесплатного) периода пользования Абонентом соответствующей Услугой, если Абонент не продлил данную Услугу на платной основе;
        На следующие календарные сутки с момента остановки действия соответствующей Услуги, если услуга не продлена Абонентом на платной основе. Удаление данных производится без возможности восстановления. Указанный срок может быть продлен по соглашению сторон.

    как для шаредов так и для впс/дедик
    https://www.ihor.ru/news

    Можно указать свой сегмент..

    Понял, спасибо.

    Базовая (http) авторизация

    Уже нагуглил, читаю, класс.

    99% причин «вирусов» и «взломов» — использование тем и плагинов с помоек…

    Полностью согласен. Поэтому изучаю оставшийся процент)

    Именно, что всё (не только ВПС, кстати). В п5,7 СПИСОК что именно может быть удалено для услуги ВПС. См и на сёрче 453-456.

    неприятно, но не вижу тут проблемы.
    у меня везде сервера оплачены минимум на 6 месяцев вперед.
    вообще не понимаю, как можно тянуть с оплатой до отключения.

    этот вопрос с деньгами надуманный. меня больше другие подводные камни раздражают. например, я использую firstvds уже несколько лет. недавно вступил в спор в vk в группе по wordpress с одним неадекватом, который не придумал ничего лучше, как заддосить мой сайт. знаете, есть такие сервисы, где якобы можно «проверить сайт на отказоустойчивость» путем банального ддоса — платишь небольшие деньги и указанный сайт будет завален.

    так вот, firstvds вырубил все мои сайты на ip, который ддосили. тех. поддержка мне объяснила, что при ддосе больше, чем 10 минут они отключают атакованный ip, чтобы не пострадали другие клиенты в сети. представляете, 10 чертовых минут и все сайты лежат уже не по вине ддоса, а по вине хостера. то есть достаточно заказать 10 минут ддоса и клиент на firstvds гарантировано лишится своих сайтов.

    проблему мне удалось решить путем заказа нового ip и срочного перевода всех сайтов на него, а от ддоса я избавился написав придурку в vk, что заявил в полицию на него. вот такие вещи у хостеров меня раздражают дальше некуда, потому что заранее о них не знаешь. а когда знаешь, что твой сервер удалял при неоплате и при этом ты все равно его вовремя не оплачиваешь — ну ты сам виноват, как иначе то?

    Модератор Yui

    (@fierevere)

    ゆい

    вообще не понимаю, как можно тянуть с оплатой до отключения.

    легко, есть люди которые не следят или тянут до последнего
    причем даже напоминаешь им — «да,да,оплатим,завтра,даже сегодня» результат: аккаунт отключен, файлы удалены
    бэкапы не делались

Просмотр 15 ответов — с 16 по 30 (всего 77)
  • Тема «Дополнительные меры безопасности» закрыта для новых ответов.