Мы предлагаем:У нас есть:
1 базу данных MySQL(50MB)PHP 5
Прикрепление своих доменовMySQL
Предустановленные движки сайтовPerl
Место под файлы(300MB)Ruby
Бесплатно и без рекламы!
Авторизация:
e-mail: Пароль:
Забыли пароль?    Запомнить  
Все блогиВажное → Владельцам сайтов на Wordpress и Joomla(!).
Rss

В связи с атакой ориентированной на перебор паролей админпанели Wordpress и Joomla (атака коснулась не только нас, но и другие хостинги) введена временная (а может и постоянная) мера по борьбе с перебором. Добавлена самая простая Basic авторизация, она откинет большую часть ботов(т.к. они не умеют использовать basic авторизацию) и существенно снизит нагрузку на сервер, которому, как вы наверняка заметили последние дни не очень хорошо (502,504).

При заходе по адресу /wp-admin/ или /wp-login.php или /admininstrator/ будет выскакивать сообщение о необходимости дополнительной авторизации.
Логин и пароль для авторизации соответственно: user/user


Автор: cyber01 | Дата создания: 25 ноября 2013, 22:19 UTC | 0.742


Комментарии(10)
Elka  26 ноября 2013, 00:32 UTC  #
0.0
Noavatar

У кого – нибудь есть проблемы с входом на сайт, или это только у меня? В окно с запросом ввожу логин/пароль, пишет, что неверно. В том, что ввожу правильно, уверена.

Павел  26 ноября 2013, 03:55 UTC  #
0.0
2bfe965ab5ef94a0568bc61c36b46d4c

А я, в свою очередь рекомендую ознакомиться вот с этим руководством и изменить адрес формы входа, а на сайте убрать любые ссылки на неё. Если кому-то нужно более подробное руководство, могу подготовить.

X-Hurrican  26 ноября 2013, 07:09 UTC  #
0.0
87

А возможность реализовать изменение адреса входа без плагина, кто-нибудь пробовал?

Павел  26 ноября 2013, 08:05 UTC  #
0.1
2bfe965ab5ef94a0568bc61c36b46d4c

Плагины не прибегают к прямому переименованию, на месте указанных адресов есть вполне реальные папки и они реально используются. Переименовывать нельзя, сломается. НО. Плагины же работают по какому-то принципу! У меня плагин, как я понимаю, создал несколько (на самом деле, очень много) правил в .htaccess, вот некоторые из них:

RewriteRule ^логин/?$ /wp-login.php?ключ [R,L]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^админка/?$ /wp-login.php?ключ&redirect_to=/wp-admin/ [R,L]
RewriteRule ^админка/?$ /wp-admin/?ключ [R,L]
RewriteRule ^регистрация/?$ /wp-login.php?ключ&action=register [R,L]
RewriteCond %{QUERY_STRING} !^ключ
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]

Соответственно, логин, админка и регистрация заменяются на соответствующие адреса для входа, админки и регистрации. Там ещё указан ключ. В идеале, этого ключа нигде в публичном доступе быть не должно. Это, конечно, не даст доступа к админке, но даст доступ к форме входа. Хотя если нужен функционал логина и регистрации простых пользователей, от этого никуда не денешься. Большая часть автоматики всё равно не пролезет.

Обращаю внимание – этих адресов может быть недостаточно. Я выудил те строчки, что, на мой взгляд, несут какой-то смысл в этой системе. Последние две: если в строчке запроса на wp-admin или wp-login не ключ – выдать 404. И ярлыки, чтобы ключ не запоминать. Скажем, я не знаю, почему уже залогиненному мне на /wp-admin/ выдаётся именно админка, а не 404. Возможно, я чего-то не понял в этих строчках. В регулярках не так давно.

Можно ещё сделать блокировку по белому списку IP. Это может быть даже проще.

Я ещё поставил себе Authy, и при каждом верном вводе пароля производится запрос на одноразовый код, генерируемый моим телефоном с привязкой ко времени. Так что даже если пароль подберут (в чём я сильно сомневаюсь), в админку доступ не получат. Я давно пользуюсь такой системой и в других местах.

Ну и BWPS иногда шлёт письма о выданных банах за много попыток входа или слишком много 404 на хост.

alex.pylov  28 ноября 2013, 14:05 UTC  #
0.0
Oxnull-userpic

спасибо за полезную инфу!

Cren  06 декабря 2013, 05:30 UTC  #
0.0
531350

Так, я не совсем понял, теперь без установки плагина в панель управления зайти нельзя?

cyber01  06 декабря 2013, 08:32 UTC  #
0.0
Avatar

Про плагин я не говорил ни слова… Просто в том всплывающем окне в поле логин ввести: user , а в поле пароль: user

Cren  07 декабря 2013, 08:22 UTC  #
0.0
531350

Всё понятно, спасибо!

Frostdemonstorm  11 декабря 2013, 05:19 UTC  #
0.0
202

В течение месяца ничего не публиковал на сайте. Вчера начал публикации и понеслось, опять таки 502, 504 Вообщем купил место на другом хостинге. Сегодня буду перебираться туда. http://rghost.ru/50881051/image.png

cyber01  11 декабря 2013, 13:22 UTC  #
0.0
Avatar

Скриншот относится только к главной, а она работает отдельно от пользовательских сайтов и вообще на другом сервере.

502-504 было сегодня рано утром 5-7 утра, после чего нагрузка спала. Кроме сегодня пиков нагрузки не было уже неделю приблизительно


Простите, Ваш браузер не поддерживает html5
Управление стрелками. Пробел - пауза.