Поддержка Проблемы и решения Вопрос по папке wp-admin сайта

  • Здравствуйте, вопрос следующего характера, есть сайт на WP последней версии, https://vdnh.bvkexpo.ru/
    В целях безопасности, мы создали файл .htaccess в папке wp-admin сайта, содержимое которого позволяет войти в админку только с определенного ip.
    В итоге один плагин перестал работать. Возможно он самописный, на ajax.
    Файл .htaccess удалили с папки wp-admin.
    Разработчик сайта сказал, что сейчас многие файлы, отвечающие за работу самого сайта (а не админки) находятся в папке wp-admin.
    Кто может подсказать по этому поводу, это правда? Или же просто разработчик сайта «отмазался», так сказать, этой фразой?)

    Страница, с которой нужна помощь: [войдите, чтобы увидеть ссылку]

Просмотр 9 ответов — с 1 по 9 (всего 9)
  • Если вы не знаете как работает экосистема плагинов вордпресс — то лучше не блокировать вордпресс бездумно.

    Не удивлен что у вас отвалился один плагин. Разраб вам верно сказал.

    Надежный пароль админа из 12ти букв символов. + один маленький плагин что ограничивает брутфорс формы входа. Limit login attempts

    Больше вам ничего не нужно.

    Модератор Yuri

    (@yube)

    В итоге один плагин перестал работать. Возможно он самописный, на ajax.

    Все плагины самописные, самозарождающихся, слава богам, пока нет 🙂

    Закрывая директорию /wp-admin/, нужно обеспечить открытость /wp-admin/admin-ajax.php, т.к. использование этого скрипта для обработки ajax — канон (хотя лично я считаю, что это была плохая идея).

    Модератор Yuri

    (@yube)

    плагин что ограничивает брутфорс формы входа. Limit login attempts

    Хорошая штука, но не панацея.
    Он ограничивает с одного IP. В результате на одном из подопечных сайтов он вчера заблокировал аж три попытки входа, а в Activity Log за вчера 110 записей «неверный пароль». Потому что долбят с разных IP.

    Модератор Yui

    (@fierevere)

    永子

    Limit login attempts

    Хорошая штука, но не панацея.

    он устарел, он не ограничивает подбор через REST API и XML-RPC
    Самых тупых и нахальных ботов обычно все же банит, а подбирать будут, всех забанить невозможно.

    Хуже даже не то, что идет подбор паролей для админки WP,
    а то что сейчас подбирают пароли для ssh даже на альтернативных 22-му портах, находят быстро, долбят все подсети, разные ДЦ, домашние роутеры.

    Ставьте пароли надежные, неподбираемые. Все эти боты обычно «ходят по словарю», иногда на удивление небольшому.

    Модератор Yuri

    (@yube)

    он устарел, он не ограничивает подбор через REST API и XML-RPC

    Судя по журналу, только его и ограничивает 🙂
    screenshot

    p.s. Ставил не столько для защиты, сколько ради интереса, после того, как какой-то супертупой бот своими попытками входа с арабскими логином и паролем спровоцировал шквал писем об illegal mix of collations.

    Модератор Yui

    (@fierevere)

    永子

    тогда речь не про https://wordpress.org/plugins/limit-login-attempts/ (оригинальный), а про новые форки на его основе, оригинал 8 лет уже не обновлялся 😉

    Модератор Yuri

    (@yube)

    Sorry, таки да, Reloaded. Что, впрочем, не отменяет «не панацея» 😉

    Спасибо за ответы всем!

    @otshelnik-fm Скажу честно, был сайт лет 5 назад который появился и прослужил до прошлого года, его обновляли постоянно, но ajax там действительно не было, а ведь он находится как я понял именно в wp-admin. Если честно, блок админ.части по ip считаю весьма разумно, так как нет нагрузки на хостинг в первую очередь. К примеру, у sweb хостинга есть такое понятие как нагрузка/час, и если она будет превышать постоянно, то они вправе отключить услуги за это (к счастью, я от них ушел в mchost), а «долбёжка» формы аутентификации по сути и есть нагрузка, поэтому я считаю здесь логичнее закрыть админ часть, исключая ajax.

    Не панацея, но он как молоток — хороший старый инструмент))

    Конечно при желании надо переходить на новые инструменты защиты. Но по личному опыту — он хорошо работает.

    А admin-ajax.php — жду когда разрабы перестанут его использовать. Rest api на замену пришел. Стал его использовать.

Просмотр 9 ответов — с 1 по 9 (всего 9)
  • Тема «Вопрос по папке wp-admin сайта» закрыта для новых ответов.