• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Массовая атака на сайты Wordpress и Joomla


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Начиная с 3 августа 2013 года в интенете блуждает сеть брутфорс ботов, которые подбирают пароли для административных частей Wordpress и Joomla.

Чем это плохо для владельцев VDS/VPS серверов?

Атаки этих ботов увеличивают нагрузку на сервер до немыслимых вершин, тем самым мешают работе ваших серверов и сайтов, а также VDS других клиентам на том же сервере.

Новость на Хабре:

Решения:

Wordpress:

В корневой папке сайта, в файл .htaccess добавить запись:
Код:
<Files wp-login.php>
SetEnvIf Remote_Addr "123.45.67.8|123.456.7.89" realremoteaddr
Order Deny,Allow
Deny from all
allow from env=realremoteaddr
</Files>

Joomla:

В папку /administrator/ положить .htaccess или добавить в существующий:
Код:
SetEnvIf Remote_Addr "123.45.67.8|123.456.7.89" realremoteaddr
Order Deny,Allow
Deny from all
allow from env=realremoteaddr

IP адреса:

В первой строке можно указать один или несколько IP-адресов, для которых будет разрешен доступ к админ части сайта.

Имеется в виду строка:

Код:
SetEnvIf Remote_Addr "123.45.67.8|123.456.7.89" realremoteaddr

В этой строке вместо 123.45.67.8|123.456.7.89 надо указать свои IP адреса, а именно IP адреса вашего компьютера.

Например мой IP адрес дома 4.2.2.2 и иногда провайдер меняет этот IP на 4.1.1.1. Это значит что строка будет выглядеть так:

Код:
SetEnvIf Remote_Addr "4.2.2.2|4.1.1.1" realremoteaddr

Источник:
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Есть ещё один не плохой способ, заключается он в том что-бы перед доступом к админке, нужно-было ввести ещё один секретный пароль, делается это так:

Создаем в корневой директории сайта файл .htpasswd да, да с точкой вначале (ваша конфигурация сервера может не отображать такие файлы – мучайте саппорт)

Далее идем на сайт и вводим логин и пароль
получаем на выходе такой текст (логин test пароль test вам есть смысл ввести свои данные)
Код:
test:$apr1$LXKKNrgE$YhE9qKIB.aCqf3syFXbIo0
Эту строчку и помещаем в новосозданный файл.

Далее открываем файл .htaccess (или создаем, если его нет)
и пишем (или дописываем в конце):

Код:
<Files wp-login.php>
AuthName “Access Denied”
AuthType Basic
AuthUserFile полный_путь_до_корня_сайта/.htpasswd
require valid-user
</Files>

где “полный_путь_до_корня_сайта” – это абсолютный путь от корня файловой системы.

Например, для ISPManager он будет выглядеть так: /var/www/имя_пользователя/data/www/адрес_сайта/.htpasswd

Готово!

Проверяем работоспособность и с облегчением вздыхаем. Сайты работают. УРАААА !!! :)
 
Верх Низ