• Всем привет! Хочу выбрать что то максимально быстрое и эффективное для блокировки атак через запросы.

    Монстры типа Wordfence Security не рассматриваю.

    Выбираю между BBQ: Block Bad Queries:
    Blocks a wide range of malicious requests
    Blocks directory traversal attacks
    Blocks executable file uploads
    Blocks SQL injection attacks
    Based on the 5G/6G Firewall
    Scans all incoming traffic and blocks bad requests
    Scans all types of requests: GET, POST, PUT, DELETE, etc.

    и

    Anti-Malware Security and Brute-Force Firewall (Firewall block SoakSoak and other malware from exploiting Revolution Slider and other plugins with known vulnerabilites.)

    Насколько я правильно понимаю с описания, первый имеет гораздо больший спектр защиты?

    Кто в теме, поделитесь своим мнение \ опытом пожалуйста

Просмотр 12 ответов — с 1 по 12 (всего 12)
  • Модератор Yui

    (@fierevere)

    永子

    основные правила BBQ можно транслировать в правила apache .htaccess или nginx
    работать будет это намного быстрее, защиту от типовых эксплоитов дает надежную,
    только вот дыры такого уровня появляются крайне редко, чтобы их можно было блокировать только по обработке запроса по заданной маске

    Yui
    подоконная привычка к антивирусу: что-то должно стоять и защищать меня от недружелюбной внешней среды. Желательно что бы я не понимал как это делается.

    Модератор Yui

    (@fierevere)

    永子

    у BBQ был как раз очень хороший код для понимания того, что он делает

    вот только брютфорс атаки он не останавливает, т.е. только на него полагаться — недостаточно

    Yui
    ты же понимаешь, что если б человек мог читать код, то этого топика просто не возникло бы.

    брютфорс

    об этом речи не идет, стандартный путь логина и т д изменены

    .htaccess

    спасибо, тогда дополню свой htaccess, сейчас кстати он такой (не конечный вариант, тестирую еще):

    
    Options All -ExecCGI -Indexes -Includes
    
    <IfModule mod_rewrite.c>
    
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>
    
    ServerSignature Off
    
    <ifModule mod_headers.c>
    	#кэшировать html и htm файлы на один день
    	<FilesMatch "\.(html|htm)$">
    		Header set Cache-Control "max-age=43200"
    	</FilesMatch>
    	#кэшировать css, javascript и текстовые файлы на одну неделю
    	<FilesMatch "\.(js|css|txt)$">
    		Header set Cache-Control "max-age=604800"
    	</FilesMatch>
    	#кэшировать флэш и изображения на месяц
    	<FilesMatch "\.(flv|swf|ico|gif|jpg|jpeg|png)$">
    		Header set Cache-Control "max-age=2592000"
    	</FilesMatch>
    	#отключить кэширование
    	<FilesMatch "\.(pl|php|cgi|spl|scgi|fcgi)$">
    		Header unset Cache-Control
    	</FilesMatch>
    </IfModule>
    
    <ifModule mod_expires.c>
    	ExpiresActive On
    	#по умолчанию кеш в 5 секунд
    	ExpiresDefault "access plus 5 seconds"
    	#кэшировать флэш и изображения на месяц
    	ExpiresByType image/x-icon "access plus 2592000 seconds"
    	ExpiresByType image/jpeg "access plus 2592000 seconds"
    	ExpiresByType image/png "access plus 2592000 seconds"
    	ExpiresByType image/gif "access plus 2592000 seconds"
    	ExpiresByType application/x-shockwave-flash "access plus 2592000 seconds"
    	#кэшировать css, javascript и текстовые файлы на одну неделю
    	ExpiresByType text/css "access plus 604800 seconds"
    	ExpiresByType text/javascript "access plus 604800 seconds"
    	ExpiresByType application/javascript "access plus 604800 seconds"
    	ExpiresByType application/x-javascript "access plus 604800 seconds"
    	#кэшировать html и htm файлы на один день
    	ExpiresByType text/html "access plus 43200 seconds"
    	#кэшировать xml файлы на десять минут
    	ExpiresByType application/xhtml+xml "access plus 600 seconds"
    </ifModule>
    
    <Files wp-login.php>
    order deny,allow
    deny from all
    </Files>
    
    <Files wp-admin.php>
    order deny,allow
    deny from all
    </Files>
    
    <Files wp-signup.php>
    order deny,allow
    deny from all
    </Files>
    
    <Files xmlrpc.php>
    order deny,allow
    deny from all
    </Files>
    

    Yui
    ты же понимаешь, что если б человек мог читать код, то этого топика просто не возникло бы.

    на почту пришел Ваш ответ, который Вы стерли, это значит что то человеческое в Вас еще есть.

    Ваши ответы не касающиеся вопроса можете не писать, не утруждайте себя.

    Спасибо.

    Модератор Yui

    (@fierevere)

    永子

    	<FilesMatch "\.(pl|php|cgi|spl|scgi|fcgi)$">
    		Header unset Cache-Control
    	</FilesMatch>

    этим вы лишаете PHP (и другие скрипты) устанавливать данный заголовок самостоятельно, не нужно так делать
    Опять же достаточно применять правила mod_expires и не устанавливать заголовки mod_headers, это избыточно.

    Далее файловые запрет, Deny all? Никаких исключений? Даже себя не пускаете?

    этим вы лишаете PHP

    спасибо.

    Deny all? Никаких исключений? Даже себя не пускаете?

    нет, путь логина\регистрации\востсановления же изменен, в wp-login.php и т д нет необходимости. Может я что то не понимаю конечно, но сейчас все работает (вход по новому пути)

    который Вы стерли

    благодарите модераторов. У меня нет прав удалять посты.

    Ваши ответы не касающиеся вопроса можете не писать, не утруждайте себя.

    Можно я как-нибудь разберусь без ваших не прошенных советов?

    благодарите модераторов. У меня нет прав удалять посты.

    зачем благодарить? Это факты

    Можно я как-нибудь разберусь без ваших не прошенных советов?

    as you wish, я не имею цели обитель Вас или кого либо, мне больше интересен конструктив и мир во всем мире. Удачи Вам.

    зачем благодарить? Это факты

    За работу, которая понравилась, принято благодарить. Всему учить нужно, даже хорошим манерам

    конструктив

    Конструктив в том, что если вы не понимаете, как работает плагин безопасности, то вы не сможете его настроить. Тогда он в лучшем случае будет бесполезен. В худшем — принесет кучу проблем.
    А тот, кто понимает, как они работают, не пользуются подобными плагинами за не надобностью.

    Модератор Yui

    (@fierevere)

    永子

    вот почему некоторые ответы удаляются, отвечать на них не следовало бы… for good

Просмотр 12 ответов — с 1 по 12 (всего 12)
  • Тема «Какой плагин безопасности вы используете?» закрыта для новых ответов.