Поддержка Проблемы и решения Падения сайта при помощи скрипта

  • Здравствуйте.

    Буквально сегодня написал мне аноним который положил один из моих сайтов, он рассказал не так много, но что узнал я, это то что он сделал при помощи скрипта python. Он запустил скрипт и пока он включен — сайт не работал, даже после выключения скрипта сайт по прежнему лежал, помог поднять сайт хостер, но не торопится рассказать как это обойти(может быть туповат).

    В общем, прошу вас помочь, если кто с этим сталкивался и знает как предостеречь свой сайт от падения, и хочется понять, в плагине ли дело или в самом CMS.

Просмотр 15 ответов — с 16 по 30 (всего 30)
  • регистрация в wordpress вообще нужна только очень ограниченному числу сайтов.

    Дело не в регистрации. За .. чем-то всё (ок, многое) пропускается через load-scripts.php. Сколько тормозов и др проблем это порой добавляет в админке. А в этой «уязвимости» его используют с фронта.

    Модератор Yuri

    (@yube)

    За .. чем-то всё (ок, многое) пропускается через load-scripts.php

    Ну как же? Рекомендации лучших собаководов специалистов по оптимизации сайтов: уменьшить количество http-запросов путем объединения всех используемых js в один документ. CSS, кстати, тоже. И скажите спасибо, что все картинки в один спрайт на лету не загоняют 🙂

    Рекомендации лучших <del»>собаководов специалистов по оптимизации сайтов

    Оч. хочется верить, что улучшатели хоть с этим одумаются.

    Дайте теперь годное решение этой проблемы пожалуйста)

    Дайте теперь годное решение этой проблемы пожалуйста)

    Во первых Вы ещё достоверно не знаете причин падения. А именно это нужно узнать в первую очередь.

    Во вторых решение ЭТОЙ проблемы было дано ещё вчера. Сразу же.

    Ну тут уже все понятно почему, с тем человеком переговорил, он признал что это был load-script, тот баг что мы все и обсуждаем здесь.

    Попробую защититься тогда, проверю снова и отпишусь

    Модератор Yuri

    (@yube)

    тот баг что мы все и обсуждаем здесь.

    Это не баг, это фича )

    Дайте теперь годное решение этой проблемы пожалуйста)

    в /wp-admin/.htaccess

    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTP_COOKIE} !wordpress_logged_in
    RewriteRule load-scripts.php - [G,L]
    </IfModule>
    

    Пробуйте. Гарантии никакой, хотя бы потому, что все хостинги разные (некоторые настолько, что и на хостинги не похожи;))

    И еще: я не понял, при чем тут «взлом»? Завалить сайт этим можно (как и простым обращением к главной или даже к readme.html — хватило бы ресурса на DDoS), но взломать — нет. Ну разве что при очень кривой настройке сервера под нагрузкой wp-config.php начнет отдавать как plain text, и тогда можно подсмотреть логин/пароль от базы.

    p.s. Если супостат читает эту ветку и его квалификация позволяет не только скопировать готовый скрипт, то предложенный «сверхлёгкий» метод не сработает.

    • Ответ изменён 6 лет, 1 месяц назад пользователем Yuri. Причина: p.s

    Тут есть еще такой момент.
    Если на сайте тема или плагины на фронте используют load-scripts.php и тп (а таковые имеются), то при его закрытии нужно будет искать им замену.

    Дело не в регистрации

    ну как не в регистрации то?
    wp-admin для посторонних нужен только при открытой регистрации.
    если регистрация закрыта — доступ к wp-admin можно закрыть по ip или еще каким образом.
    и дернуть load-scripts.php уже не получится.

    Модератор Yuri

    (@yube)

    Тут есть еще такой момент.

    Полностью согласен. Существуют ли вообще абсолютно универсальные решения? Думаю, нет. Разве что классическое «если у вас нет собаки, ее не отравит сосед«.

    ну как не в регистрации то?

    Я к тому, что сама регистрация в данном случае не причём. Можно закрыть доступы к этим файлам и где она нужна.

    А так-то да, запрет доступа к wp-admin (кроме /wp-admin/admin-ajax.php) решит и эту проблему. Для сайтов, где рега не нужна.

    Модератор Yuri

    (@yube)

    кроме /wp-admin/admin-ajax.php

    Я на этот аякс-не-админ давно зубы точу 🙂 Тоже тот еще тормоз с грузилом 🙁

    Тоже тот еще тормоз с грузилом

    Но вот без доступа к нему не работает ещё больше плагинов. 🙁 В WC напр. без него нельзя завершить заказ. (было во всяком случае в 2й версии)
    Всё надеюсь, что и до него дело когда-то дойдет.

    Модератор Yui

    (@fierevere)

    永子

    Ну как же? Рекомендации лучших собаководов специалистов по оптимизации сайтов: уменьшить количество http-запросов путем объединения всех используемых js в один документ. CSS, кстати, тоже. И скажите спасибо, что все картинки в один спрайт на лету не загоняют

    что самое смешное, что при наличии HTTPS и HTTP/2 все эти рекомендации становятся с точностью до наоборот. А сейчас у нас «мода» на внедрение HTTPS везде, где надо и не надо )

    А сейчас у нас «мода» на внедрение HTTPS везде, где надо и не надо )

    При данной «моде» в реальности пока ещё сложно найти хостинг с HTTP/2 🙂

Просмотр 15 ответов — с 16 по 30 (всего 30)
  • Тема «Падения сайта при помощи скрипта» закрыта для новых ответов.