Оффлайн
- Регистрация
- 13.08.17
- Сообщения
- 6
- Реакции
- 0
- Репутация
- 0
Вот тут поставил себе для WordPress сайтов маленькую штуку и решил народ спросить, нет ли каких-то отрицательных сторон, которые для меня не очевидны.
Штука такая, как многие WordPress'еры знают, сайты часто любят бомбить всякие подонки на предмет подбора паролей. Долбят соответственно wp-login.php. Да, есть плагины, которые позволяют переименовать wp-login.php или заблокировать активность, но если мы не хотим вмешиваться во внутренности сайта клиента, а сделать что-то надо, ведь долбёжники нагружают систему!
В общем, у себя я сделал так. В .htaccess добавил следующие правила:
RewriteCond%{REQUEST_URI}=/wp-login.php
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yoursite\.com
RewriteRule(.*)-[F]
Поясняю, что они дают. Вызвать wp-login.php теперь можно только зайдя на какую-либо страницу сайта. В этом случае устанавливается переменная HTTP_REFERER равная странице вашего сайта, откуда произошёл вызов. (Разумеется yoursute\.com вам надо заменить на имя своего сайта)
Долбёжники обычно долбают с пустым реферером, поскольку долбают роботом, который на сам сайт не заходит. И в это случае получают 403-ю ошибку, не нагружая сервер.
Штука такая, как многие WordPress'еры знают, сайты часто любят бомбить всякие подонки на предмет подбора паролей. Долбят соответственно wp-login.php. Да, есть плагины, которые позволяют переименовать wp-login.php или заблокировать активность, но если мы не хотим вмешиваться во внутренности сайта клиента, а сделать что-то надо, ведь долбёжники нагружают систему!
В общем, у себя я сделал так. В .htaccess добавил следующие правила:
RewriteCond%{REQUEST_URI}=/wp-login.php
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yoursite\.com
RewriteRule(.*)-[F]
Поясняю, что они дают. Вызвать wp-login.php теперь можно только зайдя на какую-либо страницу сайта. В этом случае устанавливается переменная HTTP_REFERER равная странице вашего сайта, откуда произошёл вызов. (Разумеется yoursute\.com вам надо заменить на имя своего сайта)
Долбёжники обычно долбают с пустым реферером, поскольку долбают роботом, который на сам сайт не заходит. И в это случае получают 403-ю ошибку, не нагружая сервер.
Оффлайн
- Регистрация
- 05.07.16
- Сообщения
- 432
- Реакции
- 371
- Репутация
- 992
нет. Все ок.
Оффлайн
- Регистрация
- 12.08.17
- Сообщения
- 47
- Реакции
- 1
- Репутация
- 3
нету
Оффлайн
- Регистрация
- 05.08.17
- Сообщения
- 147
- Реакции
- 153
- Репутация
- 322
А что если они знают эту фишку?)
Тогда ведь задолбят=) Да и те кто на широкую руку и профессионально это делают, скорее всего обходят такие вещи на техническом уровне... То есть боты проверяют данный метод. Или не каждый так сделать догадается, поправьте меня...
Тогда ведь задолбят=) Да и те кто на широкую руку и профессионально это делают, скорее всего обходят такие вещи на техническом уровне... То есть боты проверяют данный метод. Или не каждый так сделать догадается, поправьте меня...
Оффлайн
prad
.
- Регистрация
- 29.03.17
- Сообщения
- 594
- Реакции
- 452
- Репутация
- 0
Бесполезная по сути вещь. Если ваш сайт долбежники любят не в пачке с остальными(хотя если есть данная статья в широких кругах, то может и для обработчика пачек - есть патчи), то передать реферер тем же ботом - дело ~7 секунд на патч.
-
В данный момент Ваши права ограничены!
Авторизуйтесь или зарегистрируйтесь, чтобы стать полноценным участником форума.