Дополнительные меры безопасности
-
Здравствуйте. Подскажите, пожалуйста, как правильно заблокировать через .htaccess нежелательные сущности в виде ботов и взломщиков?
Когда создавал сайт, уделил изучению вопросов безопасности, наверное, больше времени, чем seo, дизайну и т.д. Т.е. все азы в духе «скрыть/отключить/не использовать…» и т.п. соблюдаю, но старался не нагружать .htaccess простынями всевозможных правил на все случаи жизни.
Cегодня впервые получил уведомление с сайта, что был превышен лимит попыток авторизации и такой-то ip заблокирован на столько-то минут. В логах «такой-то ip» и ahrefsbot идут в одной связке. Получается, к моим логину и адресу страницы входа (нестандартным и известным только мне) доступ получен-таки был. Админа сменил, добавил в .htaccess правило для этого и еще нескольких ботов:<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_USER_AGENT} .*bingbot.* [NC,OR] RewriteCond %{HTTP_USER_AGENT} .*ahrefsbot.* [NC,OR] RewriteCond %{HTTP_USER_AGENT} .*ucrawlr.* [NC,OR] RewriteCond %{HTTP_USER_AGENT} .*xovibot.* [NC,OR] RewriteCond %{HTTP_USER_AGENT} .*facebookexternalhit.* [NC,OR] RewriteCond %{HTTP_USER_AGENT} .*openstat.ru.* [NC,OR] RewriteCond %{HTTP_USER_AGENT} .*linux.* [NC,OR] RewriteCond %{HTTP_USER_AGENT} .*mj12bot.* [NC] RewriteRule .* - [R=403,L] </IfModule>Но вот смотрю — тот же bingbot после этого продолжает успешно шастать по сайту. Что еще можно сделать/дописать в .htaccess? По IP, наверное, не вариант, там динамический.
Интересуют также не широко известные способы, которые позволяют узнать логин админа и адрес страницы входа (вроде все известные и описанные ранее в Интернете нейтрализовал), точнее, меры против таких способов. Спасибо.
-
большенство хостингов слабы к обузам и адулт контенту, да и проверять шаред приходится на своем опыты и везде как всегда возникают неописанные ограничения. без ВПН никак.
последний раз был на айхоре и их месяц моросило и вырубали сайт, решил тестонуть другой хост, все бы ничего на новом было хорошо , но он был ограничен на 30 одновременных соединений или что то еще короче сайт падал каждые 20 мин, как раз во время сканирования гугл и еще были нагрузки из-за крон процессов. короче свалил я с хостинга хотя и подзаморочился с оптимизацией.На айхоре даже не задумывался ни о какой оптимизации и до сих пор не задумываюсь, там ресурсов на 150 р прилично выделяют.
большенство хостингов слабы к обузам и адулт контенту
Это не от типа услуг зависит, а от политики страны расположения серверов. Но мы-то тут вроде о безопасности говорим, а не об этом.
АПД. И кстати, тот же айхор удалит ВПС «на следующие календарные сутки» после отключения (по не оплате или др. причине.) (SLA, pdf), в то время как на шаредах данные не менее месяц лежат.
как всегда возникают неописанные ограничения. без ВПН никак.
а на VPS у вас иммунитет ко всему ? также «настучат» могут, причем хостер будет отключать весь сервер, если не отреагируете вовремя
Разве что из за «соседа» на том же IP адресе попавшего в реестр проблем не отгребетекстати причем тут ВПН ?
он был ограничен на 30 одновременных соединений
а на VPS/Dedi вы ограничены памятью, особенно на VPS, ну или платите больше, за память, 30 одновременных соединений на LAMP prefork вам с успехом выжрут больше гигабайта.
что означает «моросило»?
было арендовано нескольько шарид хостингов — один работал постоянно, на другом различные ошибки подключения, вот и выделил себе время для теста работы другого хостингаа в итоге вернулся на старый
абузоустойчивый хостинг стоит в 3-4 раза дороже обычного.
это понятно, вот только за что платить, в 4 раза дороже за то что они просто проигнорят жалобу и дадут хостинг в 2 раза слабее.
я общался с адекватной поддержкой — они говорят что просто попросят в 2-3х дневный срок удалить объект жалобы либо переехать — на других просто уйдешь в бан без каких либо объяснений.
- Тема «Дополнительные меры безопасности» закрыта для новых ответов.