• Здравствуйте. Подскажите, пожалуйста, как правильно заблокировать через .htaccess нежелательные сущности в виде ботов и взломщиков?
    Когда создавал сайт, уделил изучению вопросов безопасности, наверное, больше времени, чем seo, дизайну и т.д. Т.е. все азы в духе «скрыть/отключить/не использовать…» и т.п. соблюдаю, но старался не нагружать .htaccess простынями всевозможных правил на все случаи жизни.
    Cегодня впервые получил уведомление с сайта, что был превышен лимит попыток авторизации и такой-то ip заблокирован на столько-то минут. В логах «такой-то ip» и ahrefsbot идут в одной связке. Получается, к моим логину и адресу страницы входа (нестандартным и известным только мне) доступ получен-таки был. Админа сменил, добавил в .htaccess правило для этого и еще нескольких ботов:

    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTP_USER_AGENT} .*bingbot.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*ahrefsbot.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*ucrawlr.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*xovibot.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*facebookexternalhit.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*openstat.ru.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*linux.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*mj12bot.* [NC]
    RewriteRule .* - [R=403,L]
    </IfModule>

    Но вот смотрю — тот же bingbot после этого продолжает успешно шастать по сайту. Что еще можно сделать/дописать в .htaccess? По IP, наверное, не вариант, там динамический.
    Интересуют также не широко известные способы, которые позволяют узнать логин админа и адрес страницы входа (вроде все известные и описанные ранее в Интернете нейтрализовал), точнее, меры против таких способов. Спасибо.

Просмотр 15 ответов — с 61 по 75 (всего 77)
  • Модератор Yui

    (@fierevere)

    永子

    dosolnce прав, сейчас уже обсуждаются личные предпочтения каждого
    у любого подхода есть как плюсы так и минусы, но все уже скорее индивидуально и дело привычки )

    Автор DS

    (@dosolnce)

    @sevlad,
    сделал серверную, все супер, но пришлось отказаться — при авторизации через соцсети пользователям вылезает то же окно для ввода логина-пароля. Но все равно спасибо, освоил, может, пригодится в будущем.

    при авторизации через соцсети пользователям

    Ну да, для многопользовательских сайтов этот метод не очень подходит (хотя можно задать несколько логинов/паролей), но стоит 100 раз подумать — зачем куче юзеров давать повышенные привилегии.

    Автор DS

    (@dosolnce)

    зачем куче юзеров давать повышенные привилегии

    они им самим не нужны) я мотивировался иным: зачем создавать им кучу помех.
    Кстати, раньше стоял плагин WordPress Social Login, создавал отдельную роль для них: «без роли». Нормальный плагин, за исключением одной большой проблемы: как бы ни скрывались адреса входа-выхода, он палил их в url. Никакие редиректы и прочие меры не помогали. Зашел через ВК, наводишь мышкой на Выйти — и приплыли. Нашел потом другой, со своими недостатками, но зато не по части безопасности.

    зачем создавать им кучу помех.

    Каких-таких помех? Если им не нужны повышенные привилегии — нечего им и логиниться. Для комментирования никакие авторизации не нужны.

    Автор DS

    (@dosolnce)

    Для комментирования никакие авторизации не нужны.

    Верно. Теперь, предположим, у вас есть чат (а может и еще какие-то функции «для своих»), и вы не хотите, чтобы он был доступен каждому встречному даже в режиме ридонли, но при этом не хотите открывать на сайте регистрацию. Соцавторизация здесь — отличное решение.

    как помне если вебмастер решил что-то сделать и просит помощи не стоит отговаривать , максимум что можно это предложить чтото схожее если уже сталкивался с подобным случаем.
    Но определенно не стоит отговаривать человека от реализации чего-то необычного и не такого как у всех.

    В пример меня достал майкрасофт со своей минималестической темой которую сунут во все места — винду игры гаджеты. также надоело что для вордпресс в основном одни и теже темы , только меняют цвета и пишут разные названия ( на начальном этапе встретил тему мантра , вот она и вправду необычная — всегда советую новечкам — потом она становится бесполезна)

    Автор DS

    (@dosolnce)

    @kolshix, Вы правы, но, думаю, тут не тот случай. Мне здесь помогают, за что благодарен. Если бы я не столкнулся с тем, о чем писал выше, сам бы первый сказал — да нафиг еще какая-то авторизация)

    Теперь, предположим, у вас есть чат (а может и еще какие-то функции «для своих»)

    Это у же многопользовательская система и пользователи с повышенным привилегиями («свои» же. отличные от «не своих»). Выше про это писал.
    Хотя чат может быть отдельно от ВП, а на страницу ВП просто вставлять ифреймом.

    dosolnce
    у меня эта тема ещё в зачатках — ещё не дошел — но думаю тоже намучаюсь ))

    Автор DS

    (@dosolnce)

    пользователи с повышенным привилегиями

    В принципе, так можно сказать. Но только по факту доступа к ряду функций, где не админ назначает — давать или нет, а посетитель сайта — надо ему это или нет. А так — никаких прав редактора, автора и проч. Чисто факт — тык в кнопку VK — чат открылся, тык на выйти — разлогинен. Никаких перебросов на профили или еще куда. Ну и комментируя не надо каждый раз вводить имя-мыло. Я бы это назвал не привилегиями, а, скорее, их собственным выбором способа пребывания на сайте.

    @kolshix, у Вас все получится, удачи!)

    Я бы это назвал не привилегиями

    🙂 Всё, что больше возможностей гостя — повышенные привилегии.

    Но я, если честно, не особо понимаю «глубину» идеи чата (ил чего-то подобного). Зачем что-то внедрять в сайт (и нагрузки и потенциальные уязвимости) для тех, кто ничего для него не делает. Да при этом закрыто от паблика. Да при этом все юзеры из соцсетей. Выглядит извините, как «абы чего-нибуть замутить». Что мешает тот же чат развернуть отдельно или вообще общаться там же, в соцсетях?

    И кстати, что Вы используете для соц.авторизации?

    Автор DS

    (@dosolnce)

    Всё, что больше возможностей гостя — повышенные привилегии.

    Уговорили 🙂

    Зачем

    Пока что надо)

    Что мешает тот же чат развернуть отдельно

    Кстати, спасибо за идею, поизучаю. Делал как проще показалось, через плагин.

    Автор DS

    (@dosolnce)

    что Вы используете для соц.авторизации?

    Думал, вчера ответил, сейчас смотрю — нету, спешил и не дописал, видимо.
    Использую Super Socializer, точнее, то, что сам из него сделал, когда понял, сколько там ненужного мне. Короче, вырезанную и переписанную под себя его версию.

    Уговорили

    Да я не уговариваю, я объясняю 🙂
    Если человек прошел авторизацию (а плагину нужен wp-login.php), то это уже повышение привилегий. Если этим будут пользоваться ещё кто-то, кроме админа и доверены лиц (ответственных за сайт в какой-то мере), то нужно очень сильно обеспокоиться вопросами безопасности.

    Использую Super Socializer

    Не нашел такого в каталоге. Может стоит использовать что-то другое из каталога? Раз уж мы говорим о мерах безопасности.

Просмотр 15 ответов — с 61 по 75 (всего 77)
  • Тема «Дополнительные меры безопасности» закрыта для новых ответов.