• Здравствуйте. Подскажите, пожалуйста, как правильно заблокировать через .htaccess нежелательные сущности в виде ботов и взломщиков?
    Когда создавал сайт, уделил изучению вопросов безопасности, наверное, больше времени, чем seo, дизайну и т.д. Т.е. все азы в духе «скрыть/отключить/не использовать…» и т.п. соблюдаю, но старался не нагружать .htaccess простынями всевозможных правил на все случаи жизни.
    Cегодня впервые получил уведомление с сайта, что был превышен лимит попыток авторизации и такой-то ip заблокирован на столько-то минут. В логах «такой-то ip» и ahrefsbot идут в одной связке. Получается, к моим логину и адресу страницы входа (нестандартным и известным только мне) доступ получен-таки был. Админа сменил, добавил в .htaccess правило для этого и еще нескольких ботов:

    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTP_USER_AGENT} .*bingbot.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*ahrefsbot.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*ucrawlr.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*xovibot.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*facebookexternalhit.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*openstat.ru.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*linux.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} .*mj12bot.* [NC]
    RewriteRule .* - [R=403,L]
    </IfModule>

    Но вот смотрю — тот же bingbot после этого продолжает успешно шастать по сайту. Что еще можно сделать/дописать в .htaccess? По IP, наверное, не вариант, там динамический.
    Интересуют также не широко известные способы, которые позволяют узнать логин админа и адрес страницы входа (вроде все известные и описанные ранее в Интернете нейтрализовал), точнее, меры против таких способов. Спасибо.

Просмотр 2 ответов — с 76 по 77 (всего 77)
  • Автор DS

    (@dosolnce)

    Да я не уговариваю, я объясняю

    это был юмор, если что)

    Плагин вот https://ru.wordpress.org/plugins/super-socializer/ ему не нужно ничего, автоматом после первого входа создает профиль с ролью подписчика, не собирая данные, кроме общедоступного имени и авы (предыдущий, WSL, собирал еще и мыло). Вошедший даже не видит этот свой профиль. У него свой виджет входа-выхода, я его переделал в кнопку с иконкой соцсети и встроил в один из файлов темы, где мне надо было. Если Вам известен плагин получше, с интересом поюзаю. Но еще не встречал такого, чтоб профиль не генерил.

    Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    также надоело что для вордпресс в основном одни и теже темы , только меняют цвета и пишут разные названия

    Все ~4900 тем из каталога отличаются только цветом и названием? 🙂

Просмотр 2 ответов — с 76 по 77 (всего 77)
  • Тема «Дополнительные меры безопасности» закрыта для новых ответов.