• Здравствуйте. Подскажите, пожалуйста, как правильно заблокировать через .htaccess нежелательные сущности в виде ботов и взломщиков?
    Когда создавал сайт, уделил изучению вопросов безопасности, наверное, больше времени, чем seo, дизайну и т.д. Т.е. все азы в духе «скрыть/отключить/не использовать…» и т.п. соблюдаю, но старался не нагружать .htaccess простынями всевозможных правил на все случаи жизни.
    Cегодня впервые получил уведомление с сайта, что был превышен лимит попыток авторизации и такой-то ip заблокирован на столько-то минут. В логах «такой-то ip» и ahrefsbot идут в одной связке. Получается, к моим логину и адресу страницы входа (нестандартным и известным только мне) доступ получен-таки был. Админа сменил, добавил в .htaccess правило для этого и еще нескольких ботов:

    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTP_USER_AGENT} .*bingbot.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*ahrefsbot.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*ucrawlr.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*xovibot.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*facebookexternalhit.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*openstat.ru.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*linux.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*mj12bot.* [NC]
    RewriteRule .* - [R=403,L]
    </IfModule>

    Но вот смотрю — тот же bingbot после этого продолжает успешно шастать по сайту. Что еще можно сделать/дописать в .htaccess? По IP, наверное, не вариант, там динамический.
    Интересуют также не широко известные способы, которые позволяют узнать логин админа и адрес страницы входа (вроде все известные и описанные ранее в Интернете нейтрализовал), точнее, меры против таких способов. Спасибо.

Просмотр 15 ответов — с 31 по 45 (всего 77)
  • Автор DS

    (@dosolnce)

    Кстати, сейчас тестил скорость — «Сервис PageSpeed Insights получил от сервера ответ 403.» — нашел ошибку у себя в приведенном здесь коде из .htaccess, методом исключения определил: из-за строки RewriteCond %{HTTP_USER_AGENT} .*linux.* [NC,OR] — а в черных списках ботов и этот советуют банить.

    вообще не понимаю, как можно тянуть с оплатой до отключения

    интернет на 90% кидалово и хостинги тоже, живет 5 лет все нормально и потом ни денег ни сайтов. вот и нет у людей желания платить за большие сроки, да и псевдо хостингов развелось…

    Модератор Yui

    (@fierevere)

    永子

    а в черных списках ботов и этот советуют банить.

    советуют вообще странные вещи,
    половина списка может вообще быть неактуальной,
    а что-то может быть для вас и нужно, я бы например не банила бинг! несмотря на всю их агрессивность с индексацией

    у вас есть свой лог, по нему и смотрите, ну и хорошо бы проверять что из себя представляют некоторые сервисы

    интернет на 90% кидалово и хостинги тоже, живет 5 лет все нормально и потом ни денег ни сайтов. вот и нет у людей желания платить за большие сроки, да и псевдо хостингов развелось…

    ерунду вы какую-то говорите.
    случаев, когда хостер вдруг исчез с деньгами клиентов и удалением сайтов можно по пальцам пересчитать.

    а тянуть с оплатой насколько, чтобы оплаченный период закончился — это идиотизм чистой воды.

    Автор DS

    (@dosolnce)

    @fierevere, да)) порой километровые списки) я-то выбирал из последних у себя, которые часто вижу, и сравнивал с черным.

    а что-то может быть для вас и нужно, я бы например не банила бинг! несмотря на всю их агрессивность с индексацией

    +1.
    Вот у меня под наблюдением есть один клиентский сайт с хорошим трафиком. Так я там не банил ни одного бота — просто нет таких, что бы мешали. Я не вникал, но допускаю, что может хостер их как-то ограничивает. Вряд ли боты не пытаются долбить сайт (будучи на регру ему не хватало ресурсов на макс вип-тарифе).
    Эт я к тому, dosolnce, что много что определяется «местными условиям».

    Автор DS

    (@dosolnce)

    @fierevere, @sevlad, хорошо, спасибо, учту и этот момент.

    этот вопрос с деньгами надуманный.

    Конечно надуманный 🙂
    Вот мне приходят уведомления от бывшего клиента. Как раз на айхоре

    И таких уведомлений я получаю от нескольких хостеров экс-клиентов 🙂 Есть и такие что пока хостер акк не отключит — не пошевелятся.

    Конечно надуманный 🙂

    ну это как с бэкапами — кто-то их делает, а кто-то уже делает.
    потеряют один раз свои сайты — больше тянуть не будут.

    как говорится — дураки на своих ошибках учатся.

    для нормального человека подобные ограничения по оплате ничем не страшны. он и сервера будет заранее оплачивать, да и бекапами озаботится заранее.

    для нормального человека подобные ограничения по оплате ничем не страшны. он и сервера будет заранее оплачивать, да и бекапами позаботится заранее.

    уже на своей ж…е протестировал — благо бекап был ( у меня шиза и по этому делаю и на ПК и на съемный hdd) , и потерял инфы за 3 дня что для моего небольшого сайта ерунда.

    каждый платит как нравится, там где проекты важны плачу за 3 месяца + есть баланс с которого хостинг сам снимет при необходимости и моем отсутсвии.
    А там где балуюсь с версткой , базой и прочим, то плачу помесечно так как не знаю когда появится желание уйти с хоста

    • Ответ изменён 7 лет, 4 месяца назад пользователем kolshix.

    уже на своей ж…е протестировал — благо бекап был ( у меня шиза и по этому делаю и на ПК и на съемный hdd) , и потерял инфы за 3 дня что для моего небольшого сайта ерунда.

    у меня копии уходят на дропбокс и я.диск каждую неделю — один раз настроил и больше не трогаю. как бы облачные сервисы понадежнее будут локальных дисков. хотя и оттуда они на комп качаются и копируются на соседний диск. и тоже автоматом.

    А там где балуюсь с версткой , базой и прочим, то плачу помесечно так как не знаю когда появится желание уйти с хоста

    нормальные люди для этого локальный сервер поднимают.

    Модератор Юрій

    (@yube)

    локальный сервер поднимают

    …и скирдуют на него бэкапы с хостингов 🙂

    нормальные люди для этого локальный сервер поднимают.

    …и скирдуют на него бэкапы с хостингов

    я себя не отношу к нормальным — у меня все не стандартно и по-моему.
    К томуже я ничего не создаю, а настраиваю и тестю под свои нужды — что исключает необходимость морочится с локалкой, я 15 мин покавырял и зачем мне локалка(её тоже нужно осваивать а за это мне никто не заплатит и применять эти знания не буду) и мне проще 100 -300 р за хост отдать.
    главное то что , тестовые хосты помогают определится с возможнастями хоста и ко всему домен индексируется, а то что тестовый описывать плюсы не буду.

    • Ответ изменён 7 лет, 4 месяца назад пользователем kolshix.

    что исключает необходимость морочится с локалкой, я 15 мин покавырял и зачем мне локалка(её тоже нужно осваивать а за это мне никто не заплатит и применять эти знания не буду) и мне проще 100 -300 р за хост отдать.

    никогда не знаешь, что тебе пригодится в будущем.
    а локальный сервер осваивать 10 минут, подробнейших инструкций в инете навалом.

Просмотр 15 ответов — с 31 по 45 (всего 77)
  • Тема «Дополнительные меры безопасности» закрыта для новых ответов.