Поддержка Проблемы и решения Дополнительные меры безопасности

  • Здравствуйте. Подскажите, пожалуйста, как правильно заблокировать через .htaccess нежелательные сущности в виде ботов и взломщиков?
    Когда создавал сайт, уделил изучению вопросов безопасности, наверное, больше времени, чем seo, дизайну и т.д. Т.е. все азы в духе «скрыть/отключить/не использовать…» и т.п. соблюдаю, но старался не нагружать .htaccess простынями всевозможных правил на все случаи жизни.
    Cегодня впервые получил уведомление с сайта, что был превышен лимит попыток авторизации и такой-то ip заблокирован на столько-то минут. В логах «такой-то ip» и ahrefsbot идут в одной связке. Получается, к моим логину и адресу страницы входа (нестандартным и известным только мне) доступ получен-таки был. Админа сменил, добавил в .htaccess правило для этого и еще нескольких ботов:

    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTP_USER_AGENT} .*bingbot.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*ahrefsbot.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*ucrawlr.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*xovibot.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*facebookexternalhit.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*openstat.ru.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*linux.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*mj12bot.* [NC]
    RewriteRule .* - [R=403,L]
    </IfModule>

    Но вот смотрю — тот же bingbot после этого продолжает успешно шастать по сайту. Что еще можно сделать/дописать в .htaccess? По IP, наверное, не вариант, там динамический.
    Интересуют также не широко известные способы, которые позволяют узнать логин админа и адрес страницы входа (вроде все известные и описанные ранее в Интернете нейтрализовал), точнее, меры против таких способов. Спасибо.

Просмотр 15 ответов — с 61 по 75 (всего 77)
  • Модератор Yui

    (@fierevere)

    ゆい

    dosolnce прав, сейчас уже обсуждаются личные предпочтения каждого
    у любого подхода есть как плюсы так и минусы, но все уже скорее индивидуально и дело привычки )

    @sevlad,
    сделал серверную, все супер, но пришлось отказаться — при авторизации через соцсети пользователям вылезает то же окно для ввода логина-пароля. Но все равно спасибо, освоил, может, пригодится в будущем.

    Модератор SeVlad

    (@sevlad)

    wp.me/3YHjQ

    при авторизации через соцсети пользователям

    Ну да, для многопользовательских сайтов этот метод не очень подходит (хотя можно задать несколько логинов/паролей), но стоит 100 раз подумать — зачем куче юзеров давать повышенные привилегии.

    зачем куче юзеров давать повышенные привилегии

    они им самим не нужны) я мотивировался иным: зачем создавать им кучу помех.
    Кстати, раньше стоял плагин WordPress Social Login, создавал отдельную роль для них: «без роли». Нормальный плагин, за исключением одной большой проблемы: как бы ни скрывались адреса входа-выхода, он палил их в url. Никакие редиректы и прочие меры не помогали. Зашел через ВК, наводишь мышкой на Выйти — и приплыли. Нашел потом другой, со своими недостатками, но зато не по части безопасности.

    Модератор SeVlad

    (@sevlad)

    wp.me/3YHjQ

    зачем создавать им кучу помех.

    Каких-таких помех? Если им не нужны повышенные привилегии — нечего им и логиниться. Для комментирования никакие авторизации не нужны.

    Для комментирования никакие авторизации не нужны.

    Верно. Теперь, предположим, у вас есть чат (а может и еще какие-то функции «для своих»), и вы не хотите, чтобы он был доступен каждому встречному даже в режиме ридонли, но при этом не хотите открывать на сайте регистрацию. Соцавторизация здесь — отличное решение.

    как помне если вебмастер решил что-то сделать и просит помощи не стоит отговаривать , максимум что можно это предложить чтото схожее если уже сталкивался с подобным случаем.
    Но определенно не стоит отговаривать человека от реализации чего-то необычного и не такого как у всех.

    В пример меня достал майкрасофт со своей минималестической темой которую сунут во все места — винду игры гаджеты. также надоело что для вордпресс в основном одни и теже темы , только меняют цвета и пишут разные названия ( на начальном этапе встретил тему мантра , вот она и вправду необычная — всегда советую новечкам — потом она становится бесполезна)

    @kolshix, Вы правы, но, думаю, тут не тот случай. Мне здесь помогают, за что благодарен. Если бы я не столкнулся с тем, о чем писал выше, сам бы первый сказал — да нафиг еще какая-то авторизация)

    Модератор SeVlad

    (@sevlad)

    wp.me/3YHjQ

    Теперь, предположим, у вас есть чат (а может и еще какие-то функции «для своих»)

    Это у же многопользовательская система и пользователи с повышенным привилегиями («свои» же. отличные от «не своих»). Выше про это писал.
    Хотя чат может быть отдельно от ВП, а на страницу ВП просто вставлять ифреймом.

    dosolnce
    у меня эта тема ещё в зачатках — ещё не дошел — но думаю тоже намучаюсь ))

    пользователи с повышенным привилегиями

    В принципе, так можно сказать. Но только по факту доступа к ряду функций, где не админ назначает — давать или нет, а посетитель сайта — надо ему это или нет. А так — никаких прав редактора, автора и проч. Чисто факт — тык в кнопку VK — чат открылся, тык на выйти — разлогинен. Никаких перебросов на профили или еще куда. Ну и комментируя не надо каждый раз вводить имя-мыло. Я бы это назвал не привилегиями, а, скорее, их собственным выбором способа пребывания на сайте.

    @kolshix, у Вас все получится, удачи!)

    Модератор SeVlad

    (@sevlad)

    wp.me/3YHjQ

    Я бы это назвал не привилегиями

    🙂 Всё, что больше возможностей гостя — повышенные привилегии.

    Но я, если честно, не особо понимаю «глубину» идеи чата (ил чего-то подобного). Зачем что-то внедрять в сайт (и нагрузки и потенциальные уязвимости) для тех, кто ничего для него не делает. Да при этом закрыто от паблика. Да при этом все юзеры из соцсетей. Выглядит извините, как «абы чего-нибуть замутить». Что мешает тот же чат развернуть отдельно или вообще общаться там же, в соцсетях?

    И кстати, что Вы используете для соц.авторизации?

    Всё, что больше возможностей гостя — повышенные привилегии.

    Уговорили 🙂

    Зачем

    Пока что надо)

    Что мешает тот же чат развернуть отдельно

    Кстати, спасибо за идею, поизучаю. Делал как проще показалось, через плагин.

    что Вы используете для соц.авторизации?

    Думал, вчера ответил, сейчас смотрю — нету, спешил и не дописал, видимо.
    Использую Super Socializer, точнее, то, что сам из него сделал, когда понял, сколько там ненужного мне. Короче, вырезанную и переписанную под себя его версию.

    Модератор SeVlad

    (@sevlad)

    wp.me/3YHjQ

    Уговорили

    Да я не уговариваю, я объясняю 🙂
    Если человек прошел авторизацию (а плагину нужен wp-login.php), то это уже повышение привилегий. Если этим будут пользоваться ещё кто-то, кроме админа и доверены лиц (ответственных за сайт в какой-то мере), то нужно очень сильно обеспокоиться вопросами безопасности.

    Использую Super Socializer

    Не нашел такого в каталоге. Может стоит использовать что-то другое из каталога? Раз уж мы говорим о мерах безопасности.

Просмотр 15 ответов — с 61 по 75 (всего 77)
  • Тема «Дополнительные меры безопасности» закрыта для новых ответов.