Если используется апач, то рекомендую поставить доп. авторизацию типа
Дополнительная авторизация стоит, в качестве защиты и минимальной нагрузки это было очень неплохо, но работает это только по http, по https нет. Большинство сайтов уже с SSL, поэтому этот способ уже малоэффективен.
SeVlad
mobilka777 #:
, но работает это только по http, по https нет.
С чего бы?
AfterWar
Ограничение по ip ставьте в htaccess — если динамический не пишите последние цифры
ставьте и для <Files wp-login.php> и для wp-admin — многих проблем избежите — не только брутофорса
<Files wp-login.php>
order deny,allow
deny from all
Allow from1.1.1
</FilesMatch>
для wp-admin
<LIMIT GET>
order deny,allow
deny from all
Allow from1.1.1
</LIMIT>
Евгений Крупченко
у моих подопечных (shared хостинг) по-умолчанию включается защита на уровне nginx, которая при всех POST запросах проверяет наличие одной куки, которая ранее ставится когда запрашиваются .css файлы.
боты ничего такого не запрашивают и соответственно получают лишь 403 ошибку когда POST’ят что-либо.
таким образом отлично отшиваются и брутфорсы и спам-посты. причем независимо от cms, будь то wordpress или что-угодно другое.
всегда суть одна и та же: что-то нехорошее делается обычно при POST’е, и боты обычно не качают контент сайта (.css).
но конечно изредка кому-то действительно нужны какие-то автоматические пост запросы, тем защита выключается.
работает так не первый год, wp сайтов сотни, их постоянно брутфорсят, но нагрузки никакой нет, взломов нет, одни плюсы 🙂
SeVlad
AfterWar #:
и для wp-admin — многих проблем избежите
но появятся новые. Из wp-admin вызываются скрипты на фронте. Что нужно защищать — я показал в первом ответе.
AfterWar
много лет использую на самых различных конфигурациях и проблем «со скриптами» не встречал — в любом случае wp-login.php так защитить необходимо, что от брута (и от нагрузки им вызванного) как раз и спасет.
SeVlad
AfterWar #:
много лет использую на самых различных конфигурациях и проблем «со скриптами» не встречал
Не много же ты имел дел с современными ВП-сайтами. Весь аякс через wp-admin/admin-ajax.php идёт. И это никак не пофиксят.
AfterWar #:
в любом случае wp-login.php так защитить необходимо
wp-login.php != wp-admin/
wp-login.php (и ещё 2 скрипта) — да. wp-admin — ни в коем случае!
AfterWar
1. Предпочитаю общаться с малознакомыми людьми на «Вы» а доступ в админку с защитой по ip мне рекомендовал разработчик популярного security плагина чтобы как раз просто снизить нагрузку от перебора паролей и не использовать плагины «комбайны» , и его компетенцию подвергать сомнению у меня не было, ибо совет оказался на редкость простым и эффективным.
2. Ну понятно же что имелся ввиду wp-login.php раз уж я привел 2 варианта готовых решений и первый с как раз с <Files wp-login.php>
3. с admin-ajax.php лично у меня конфликтов не возникало (и хорошо что так)
4. TC — также неплохо таким образом защитить xmlrpc.php и wp-config
SeVlad
AfterWar #:
1. Предпочитаю общаться с малознакомыми людьми на «Вы»
mobilka777
Добрый день.
Брутфорс-атаки на WordPress создают значительные нагрузки на сервере.
Есть какие либо эффективные методы защиты, со стороны сервера, без установки каких либо плагинов и т.п. в самом WP.
Цель защитить WP сайт и снизить нагрузку на сервере.
Заранее спасибо за Ваши ответы.
SeVlad
Есть какие либо эффективные методы защиты, со стороны сервера, без установки каких либо плагинов и т.п. в самом WP.
Если используется апач, то рекомендую поставить доп. авторизацию типа
mobilka777
Если используется апач, то рекомендую поставить доп. авторизацию типа
Дополнительная авторизация стоит, в качестве защиты и минимальной нагрузки это было очень неплохо, но работает это только по http, по https нет. Большинство сайтов уже с SSL, поэтому этот способ уже малоэффективен.
SeVlad
, но работает это только по http, по https нет.
С чего бы?
AfterWar
Ограничение по ip ставьте в htaccess — если динамический не пишите последние цифры
ставьте и для <Files wp-login.php> и для wp-admin — многих проблем избежите — не только брутофорса
Евгений Крупченко
у моих подопечных (shared хостинг) по-умолчанию включается защита на уровне nginx, которая при всех POST запросах проверяет наличие одной куки, которая ранее ставится когда запрашиваются .css файлы.
боты ничего такого не запрашивают и соответственно получают лишь 403 ошибку когда POST’ят что-либо.
таким образом отлично отшиваются и брутфорсы и спам-посты. причем независимо от cms, будь то wordpress или что-угодно другое.
всегда суть одна и та же: что-то нехорошее делается обычно при POST’е, и боты обычно не качают контент сайта (.css).
но конечно изредка кому-то действительно нужны какие-то автоматические пост запросы, тем защита выключается.
работает так не первый год, wp сайтов сотни, их постоянно брутфорсят, но нагрузки никакой нет, взломов нет, одни плюсы 🙂
SeVlad
AfterWar #:
и для wp-admin — многих проблем избежите
но появятся новые. Из wp-admin вызываются скрипты на фронте. Что нужно защищать — я показал в первом ответе.
AfterWar
много лет использую на самых различных конфигурациях и проблем «со скриптами» не встречал — в любом случае wp-login.php так защитить необходимо, что от брута (и от нагрузки им вызванного) как раз и спасет.
SeVlad
много лет использую на самых различных конфигурациях и проблем «со скриптами» не встречал
Не много же ты имел дел с современными ВП-сайтами. Весь аякс через wp-admin/admin-ajax.php идёт. И это никак не пофиксят.
в любом случае wp-login.php так защитить необходимо
wp-login.php != wp-admin/
wp-login.php (и ещё 2 скрипта) — да. wp-admin — ни в коем случае!
AfterWar
1. Предпочитаю общаться с малознакомыми людьми на «Вы» а доступ в админку с защитой по ip мне рекомендовал разработчик популярного security плагина чтобы как раз просто снизить нагрузку от перебора паролей и не использовать плагины «комбайны» , и его компетенцию подвергать сомнению у меня не было, ибо совет оказался на редкость простым и эффективным.
2. Ну понятно же что имелся ввиду wp-login.php раз уж я привел 2 варианта готовых решений и первый с как раз с <Files wp-login.php>
3. с admin-ajax.php лично у меня конфликтов не возникало (и хорошо что так)
4. TC — также неплохо таким образом защитить xmlrpc.php и wp-config
SeVlad
1. Предпочитаю общаться с малознакомыми людьми на «Вы»
Предпочитай, кто тебе запрещает-то.
https://searchengines.guru/ru/forum/944268/page6#comment_14682615
. Ну понятно же что имелся ввиду wp-login.php
Прикинь, я читать умею и именно на это я и отвечал:
AfterWar #:
и для wp-admin — многих проблем избежите
..
..
для wp-admin
..
Или скажешь, это не ты писал?
А про сказанное тобой про wp-login.php — претензий никаких не имею.