Еще немного защиты сайту не помешает :)

Обещался анонсировать через пару дней после поста о 20-и креативных рабочих местах обновление для Smart Linker, но пока придется повременить, есть некоторые проблемы(. Не будем зацикливаться на этом, как стабилизируем — будет пост.

А сегодня я хотел бы поделиться с Вами историей об одном моем сервере, на котором несколько сайтов чувствовали себя не очень уютно, ведь кто-то усиленно делал подбор паролей к админкам сайтов с разных IP и это невероятно сильно грузило сервер (80-100%, вместо 5-15% обычных).

Защищаем админку сайта с помощью .htaccess

Благо, сайты мои размещены на FastVPS, а это может означать лишь одно — меня не оставят с этой бедой один на один, как бывало у других хостинг-провайдеров. Признаюсь, решение проблемы оказалось достаточно простым, вероятно поэтому оно не пришло ко мне сразу, видимо я искал решение посложнее).

Итак, ребята из поддержки, а именно Денис Ватолин и Кирилл Ковалев, подсказали мне закрыть доступ к страницам авторизации для всех IP, кроме доверенных с помощью .htaccess. Сказано — сделано. Как итог, резкое падение нагрузки на процессор до 10-20%, резкое снижение потребление памяти и все такое.

На том сервере у меня один сайт на DLE (известный Вам postpr.ru, я его так и не продал…пока) и несколько на WP. Если в WP мы закрываем доступ в директорию админки, то в DLE нам требуется запретить доступ к файлу страницы авторизации, потому решения немного разные.

Для DLE, т.е. в случае, когда требуется закрыть доступ к какому-либо файлу, прописываем в конце .htaccess, который расположен в корне сайта, следующие строки:

<Files admin.php>
Order Deny,Allow
Deny from all
Allow from XXX.XXX.XXX.XXX
</Files>

, где XXX — ваш IP (узнать его можно здесь), а admin.php — файл страницы авторизации (стандартный именно admin.php, но я его переименовал сразу, как установил DLE, и Вам советую).

Для WordPress требуется создать в папке wp-admin файл .htaccess (конечно, если его нет) и записываем в него:

Order Deny,Allow
Deny from all
Allow from XXX.XXX.XXX.XXX

, где XXX — ваш IP (узнать его можно здесь).

Все. Теперь злоумышленнику будет вываливаться 403 ошибка — дескать «Вам доступ запрещен», ну а Вам, с указанного IP, будет разрешен.

Закрыли всем доступ к файлу

Закрыли доступ в директорию

Вот такое, достаточно простое, но эффективное решение. Конечно, будут сложности, если у Вас плавающий IP, т.е. при каждом подключении к интернету провайдер выдает новый IP, тогда Вам потребуется редактировать .htaccess, дабы указать свой нынешний айпи. Но это все лучше, чем переживать лишний раз за свои данные.

Удачи Вам, друзья, успехов.

Комментарии

18 на запись "Еще немного защиты сайту не помешает :)"
  1. Tony Sparks says:

    спасибо, здоровсикий способ, Серега, будем юзать)

  2. sidash says:

    А чем этот плагин тебе не подошел?)

    http://devel.kostdoktorn.se/limit-login-attempts

  3. Ну почему же) Этот способ предусматривает блокировку всех IP кроме вашего, потому ручками ничего блокировать не будем и прокси-список злоумышленника тут ничем ему не поможет.

    Спасибо за дополнительные варианты. Про «а» знал, а о «б» не слышал.

    • Кирилл Томлинский says:

      Хоть и не верный, но метод! А что касательно а) и б) сидевших на трубе, так и поныне на трубе, во-первых на их привод в действие иногда необходимо разрешение хостер-провайдера(умелые сотрудники быстро секут), либо свалить с хоста, во-вторых, вред себе: к вашему скрипту, который ставится на серваке очень легко подключить через брайзер используя ПО спец файл, который будет выуживать инфу, например можно использовать ПО шарингакулу(Я знаю о чём пишу, поскольку не просто верю идеям защиты истекающих с зарубежных блогов и иных локаций(Сергей без обид), но и ровно столько проверяю их идеи на вшивость всякими способами). Видите ли, ваш метод куда более опасен и в особенности когда упоминаете «СКРИПТ»(иначе что такое код, всего лишь последовательность кодов (которую можно написать, а значит «щупать» как захочешь), а результат всегда тот же — преследовании и желании получить одну цель, задачи по геометрии за 11 класс когда-то решал формулами за 9-10, а тут недавно порадовало, что Касперский делал тоже). Также можно через созданный пользователем файл htpasswd ради защиты его же блога напоганить ему самому. Это тоже умеют, поэтому советуют делать муляжи. А вообще сломав хостера(на что сейчас стали больше обращать внимание) доступ к сайту(и не к одному) обеспечен. Но вот в чём забава, используя Windows хостинг, сами компании могли бы использовать средства шифрования, почему-то это для некоторых компаний не проблема(DiskCryptor используют сервера Германии), но рунет другое дело — каменный век… Тут объяснять места не хватит — советую — читаем умные книжки.

      По-сему, гораздо более действенный метод не мыкаться в слепую а связаться с хостинг-провайдером и если его представитель не полный идиот и из себя никого строить не станет, в том числе и заниматься утехами, как зажравшийся, то и выход обеспечен. А если в слепую, то хостер вас просто забанит «до выяснения…» или попросит монетизировать теорию. И наверняка некоторые пользователи сталкивались с претензиями своих хостеров, я например ушёл с HC и Reggi поскольку подобными «действиями вызывал нагрузку на ДЦ» — дебилизм маразматиков, Сразу видно сотрудники Reggi и HC «В Москве учились, ума-то нету» — народная мудрость.

      Сергей, если не удалось продать, то возможно, бояться что ресурс P…PR даёт ссылки на контент с черепом и костями, неделями ранее посещал его и на мониторе образовывалась страница из законов УГРФ от первого августа, может произвести чистку, а то это похоже на моральный взлом ресурса и понижение его репутации.

      Спасибо, было интересно. С уважением, Кирилл!

  4. Спасибо, попробуем.

  5. На этом блоге ничего не блокировал)

  6. Хм…попробую, спасибо.

  7. Есть решение и для файла, и для директории. На этом блоге ничего не блокировал…пока.

  8. Может Вы свой ip в исключении и прописали?

  9. Ага, у многих такие проблемы.

  10. Блокировать каждый IP не очень эффективно, обычно при подборе используются прокси-сервера, а их список часто очень внушительный.

  11. Владимир says:

    То что wp-login.php переименовал это конечно здорово, но не плохо бы было сделать запрет на этот файл, а то смысла не вижу если редирект на ссылку в админку открыта.

    • Смысл прост — быстрая защита от «школоты», которая устанавливает программу, запускает ее на дефолтные файлы CMS и идет курить), а многочисленные потоки, блин, грузят сервера по-серьезному. Они не заморачиваются поиском нужного файла. А от профи, убрав редирект, не защититься, тут другие способы нужны 😉

  12. Andrei Yrichyk says:

    Доброе время суток! а два IP можно прописать?..

  13. Мария says:

    Сергей, как можно(если возможно) кроме плагина и сервиса gravatar настроить свою картинку(фото, изображение) на вывод в комментариях и для админ панели, просто много шаблонов разработано, где это поддерживается, сама не хочу использовать чей-то шаблон пользую twentynen. Пожалуйста, подскажите.

    • Не задавался вопросом. Думаю это сложно будет сделать, универсального сервиса просто нет, а разного рода надстроек для комментариев в блогах уже очень много.

Спасибо, что оставили свой комментарий

banner