Дополнительные меры безопасности
-
Здравствуйте. Подскажите, пожалуйста, как правильно заблокировать через .htaccess нежелательные сущности в виде ботов и взломщиков?
Когда создавал сайт, уделил изучению вопросов безопасности, наверное, больше времени, чем seo, дизайну и т.д. Т.е. все азы в духе «скрыть/отключить/не использовать…» и т.п. соблюдаю, но старался не нагружать .htaccess простынями всевозможных правил на все случаи жизни.
Cегодня впервые получил уведомление с сайта, что был превышен лимит попыток авторизации и такой-то ip заблокирован на столько-то минут. В логах «такой-то ip» и ahrefsbot идут в одной связке. Получается, к моим логину и адресу страницы входа (нестандартным и известным только мне) доступ получен-таки был. Админа сменил, добавил в .htaccess правило для этого и еще нескольких ботов:<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_USER_AGENT} .*bingbot.* [NC,OR] RewriteCond %{HTTP_USER_AGENT} .*ahrefsbot.* [NC,OR] RewriteCond %{HTTP_USER_AGENT} .*ucrawlr.* [NC,OR] RewriteCond %{HTTP_USER_AGENT} .*xovibot.* [NC,OR] RewriteCond %{HTTP_USER_AGENT} .*facebookexternalhit.* [NC,OR] RewriteCond %{HTTP_USER_AGENT} .*openstat.ru.* [NC,OR] RewriteCond %{HTTP_USER_AGENT} .*linux.* [NC,OR] RewriteCond %{HTTP_USER_AGENT} .*mj12bot.* [NC] RewriteRule .* - [R=403,L] </IfModule>
Но вот смотрю — тот же bingbot после этого продолжает успешно шастать по сайту. Что еще можно сделать/дописать в .htaccess? По IP, наверное, не вариант, там динамический.
Интересуют также не широко известные способы, которые позволяют узнать логин админа и адрес страницы входа (вроде все известные и описанные ранее в Интернете нейтрализовал), точнее, меры против таких способов. Спасибо.
- Тема «Дополнительные меры безопасности» закрыта для новых ответов.