Сообщений в теме: 62

[Лена]

Ок   

[Артём Еремеевский]

Я закачал соответствующий файл по фтп

Я просто убрал решетку #
И вместо "My_IP" вставил свой IP
И закачал файл обратно на хост

 

Вы только учтите, что подобным образом вы ограничниваете доступ к wp-login.php Только с вашего IP. И если у вас свободная регистрация на блоге, то больше доступа к файлу никто иметь не будет. Для полного доступа нужно удадить всю конструкцию <Files wp-login.php></Files> или закомментить каждую строчку, добавив в начало символ #.

[mikey]

Вы только учтите, что подобным образом вы ограничниваете доступ к wp-login.php Только с вашего IP.

Артем, это я прекрасно знаю
Но сейчас с моим блогом работаю только я.
Какое либо чужое участие в ближайшее время не планируется
 

И если у вас свободная регистрация на блоге,

Я специально убрал свободную регистрацию.
И после того, как уничтожил некоторые файлы.

Нелегальная рассылка с моего блога прекратилась. НО это еще тогда было

 

Для полного доступа нужно удадить всю конструкцию <Files wp-login.php></Files> или закомментить каждую строчку, добавив в начало символ #.

Это я знаю.
Но раз хостер так хочет, я пока не вижу серьезных причин ему перечить

[Сергей (ex-Gudvin)]

Спросил у хостера, но он ещё не ответил.

 

Пришёл довольно-таки странный ответ от хостера:

 

Здравствуйте.

Это не имеет смысла так как все необходимые меры уже были приняты.

 

Не "имеет смысла", в данном случае, сообщать клиентам о завершении атаки... Попросил более внятного ответа, получил это:

 

Здравствуйте.

Атаки пока продолжаются. Узнать о их завершении вы можете убрав записи в
.htaccess. Если в логе доступа после этого не будет активности в отношении
Вашей админки, то запись можно не возвращать.

Причиной вмешательства в данные сайта была необходимость предотвратить взлом
Вашего ПО и загрузку вредоносного контента на хостинг.

Подобная активность в отношении используемого Вами ПО так же вызывала нагрузку
на сервере, что мешало его стабильной работе.

Вы можете удалить все запрещающие вход директивы в файле .htaccess, при этом,
нет гарантий того, что работа Вашего аккаунта не будет приостановлена по
лимитам нагрузки из-за взлома Вашего ПО.

 

Я понял так, что хостер предлагает оставить данное ограничения по IP насовсем... Но, как говорит madFobos, как в таком случае быть сайтам с аккаунтами пользователей и с регистрацией новых аккаунтов? А также, как быть с динамичным IP админов таких сайтов? Перед каждым входом в админку редактировать .htaccess?

 

Переписка с хостером продолжается...

[Сергей (ex-Gudvin)]

Переписка с хостером продолжается...

 

Ответ получен:

 

Здравствуйте.

На текущий момент решения Вашего вопроса пока нет. Наши специалисты занимаются
его поиском. Как только оно будет найдено мы незамедлительно Вам сообщим.

Приносим извинения за доставленные неудобства.

 

Это ответ на вопрос о том, как быть с авторизацией других пользователей на моём сайте и с регистрацией новых... И что-то фразы подобные этим - "ищем решение вашей проблемы", "обязательно сообщим о решении" и т.д. - судя по жизненному опыту, не вселяют большой надежды...

[Катя (Aki Astarta)]

как быть с авторизацией других пользователей на моём сайте и с регистрацией новых...

У меня, оказывается, та же проблема возникла: пользователи войти не могут.  Я - могу, а они нет.

Хостер предложил решение: переименовать файл /труту-ту.ком/wp-login.php - у меня с него идет вход на сайт. И, как я поняла, на всех сайтах на вордпрессе вход идет с этой страницы и именно ее (или одну-из) атакуют злоумышленники.

 

Если переназвать этот файл, действительно можно будет войти без проблем, как думаете?

 

(боюсь проверять, чтоб ничего не поломать )

[Сергей (ex-Gudvin)]

Хостер предложил решение: переименовать файл /труту-ту.ком/wp-login.php

 

Если переназвать этот файл, действительно можно будет войти без проблем, как думаете?

 

http://ru.forums.wor...pic/wp-loginphp

[Катя (Aki Astarta)]

Сергей, спасибо за ссылку. Прочитала. Поняла, что с нулевым знанием php лучше вообще не соваться.

 

Это значит, как минимум, будет проблемна (или невозможна) регистрация новых пользователей?

[mikey]

Откровенно сказать не совсем понимаю зачем нужна регистрация новых пользовтелей на ВП?

1. Если чел хочет получать обновления с сайта, то он может подписаться на RSS или Атом
Потом там разные фидбурнеры есть

Наконец можно сделать рассылку и слать сообщения о новых постах на е-мейл.

2. Потом, так понимаю что можно в файл написать несколько строчек со значениями ip  для своих??
3. А так вообще ВП не предназначен для коллективной работы.

Я думаю, что серьезные коллективные проекты скорее будут делать на
UmiCMS
Битрикс
NetCat

и других платных СMS

WordPress --- это скорее движок для одиноких блогеров, имхо

[Сергей (ex-Gudvin)]

1. Если чел хочет получать обновления с сайта, то он может подписаться на RSS или Атом Потом там разные фидбурнеры есть Наконец можно сделать рассылку и слать сообщения о новых постах на е-мейл.

 

Это присутствует в функционале практически любого сайта... Но многие к рекгистрации привязывают дополнительные возможности по пользованию сайтом (комментирование публикаций, скачивание файлов, доступ к закрытым публикациям и т.д.)... А у Кати, так вообще, насколько я понял, на сайте присутствуют платные разделы, в которые она продаёт доступы...

 

3. А так вообще ВП не предназначен для коллективной работы. Я думаю, что серьезные коллективные проекты скорее будут делать на UmiCMS Битрикс NetCat и других платных СMS

 

Возможно, но и на Wordpress можно сделать коллектив ресурс (пример 1, пример 2), используя определённые плагины...

 

WordPress --- это скорее движок для одиноких блогеров

 

Зачем же нужны такие блоги, без возможности спросить/прокомментировать/и т.д. публикацию... Без обратной связи очень сложно вести блог!

[Сергей (ex-Gudvin)]

Сергей, спасибо за ссылку. Прочитала. Поняла, что с нулевым знанием php лучше вообще не соваться. Это значит, как минимум, будет проблемна (или невозможна) регистрация новых пользователей?

 

Можно воспользоваться, например, вот этим плагином, с помощью которого вы сможете перенести wp-login.php из корня сайта в другое место:

 

 

...и, если нужно, настроить другие ограничения доступа к админке, например, http-аутентификацию:

 

[Den Shark]

Поскольку все равно проблема защиты стояла давно - как раз приобрел ВОТ ЧТО - просто улетно помогло...многого не знал если честно

[Катя (Aki Astarta)]

Но многие к рекгистрации привязывают дополнительные возможности по пользованию сайтом (комментирование публикаций, скачивание файлов, доступ к закрытым публикациям и т.д.)... А у Кати, так вообще, насколько я понял, на сайте присутствуют платные разделы, в которые она продаёт доступы...

Да, все верно (хотя с такими "приколами" подумываю сменить модель продажи). И именно поэтому мне важна возможность регистрировать новых пользователей и "старым" заходить на сайт. Сейчас из-за этого брутфорса (надеюсь, слово правильно написала), пользователи на сайт попасть не могут: идет 301 ошибка, то есть множественные редиректы - это защиту от атаки поставил хостер...

 

Можно воспользоваться, например, вот этим плагином, с помощью которого вы сможете перенести wp-login.php из корня сайта в другое место:

Сергей, спасибо. Плагин поставила (это я умею ), и теперь при входе на wp-admin.php и wp-login.php сайт показывает 404 ошибку, то есть эти страницы "спрятаны". Вопросы возникли с новой страницей входа. Когда вбиваешь новый адрес (заданный в плагине) в адресную строку, сайт отдает:

Warning: include(/home/труляля/public_html/бал-бла-бла//wp-login.php) [function.include]: failed to open stream: Permission denied in /home/труляля/public_html/бал-бла-бла/wp-content/plugins/lockdown-wp-admin/lockdown-wp-admin.php on line 607

Причем в папке с плагинами нет ни этого файла, ни вообще папки lockdown-wp-admin   Сейчас вожусь, думаю, может, где в настройках напутала...

Чудесно, сайт опять "пропал"

Not Found
The requested URL / was not found on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

 

Чудесно, сайт опять "пропал"

Нормально, все сайты с той же ошибкой - видимо, хостер что-то "лечит", пока ночь и вроде как все нормальные люди должны уже спать

[Сергей (ex-Gudvin)]

хотя с такими "приколами" подумываю сменить модель продажи

 

Если кроме этого небольшого недоразумения всё остальное работает хорошо, удобно и исправно, то не стоит... Думаю, мы найдём решение данной проблемы.

 

Когда вбиваешь новый адрес (заданный в плагине) в адресную строку, сайт отдает:

 

Вы создали папку на хосте для wp-login.php? Прописали эту папку в настройках плагина? Переместили в эту папку файл wp-login.php?

 

Причем в папке с плагинами нет ни этого файла, ни вообще папки lockdown-wp-admin

 

Вам пока эта папка и файл не нужны.

 

сайт опять "пропал"

Not Found

The requested URL / was not found on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

 

Нормально, все сайты с той же ошибкой - видимо, хостер что-то "лечит"

 

Да похоже он опять Вас снова просто вырубил из-за какой-то нагрузки...

Выберите хостинг для пробного использования, продублируем на нём сайт, посмотрим как будет работать.

 

пока ночь и вроде как все нормальные люди должны уже спать

 

Технические работы стараются проводить рано утром (примерно с 5:00 до 7:00 по Москве), когда на ресурсах минимальная посещаемость.

[Артём Еремеевский]

Откровенно сказать не совсем понимаю зачем нужна регистрация новых пользовтелей на ВП?

 

Вообще-то много зачем, Wordpress уже давно можно как полноценную CMS использовать. Посмотрите мой сайт в подписи, для примера. При регистрации клиентам дается доступ к закрытым материалам, идет автоподписка в mailchimp. При покупке курсов опять же аккаунтам дается дополнительные доступы к материалам. И все это на полном автомате.

 

Вообще, я вижу три варианта:

1) Все-таки перенести авторизацию wp-login.php в другой файл. Не можете сами, фрилансеры рублей за 500 сделают.

2) Использовать плагин для ограничения попыток авторизации (хотя может не помочь, если IP постоянно меняются + нагрузка все равно будет): http://devel.kostdok...-login-attempts

3) Можно попросить хостера вообще резать трафик за пределами СНГ (как правило, хакерские IP где-то в другом месте совсем).

[Сергей (ex-Gudvin)]

1) Все-таки перенести авторизацию wp-login.php в другой файл. Не можете сами, фрилансеры рублей за 500 сделают.

 

Если вышеуказанный вариант не поможет и не заработает, сделаем. Я у одного своего клиента так сделал.

[Den Shark]

Вы только учтите, что подобным образом вы ограничниваете доступ к wp-login.php Только с вашего IP. И если у вас свободная регистрация на блоге, то больше доступа к файлу никто иметь не будет. Для полного доступа нужно удадить всю конструкцию или закомментить каждую строчку, добавив в начало символ #.

 

А можно еще раз для не самых умных?

 

Что именно изменить?

И не получится ли, что я не смогу зайти в блог скажем в ресторанчике где есть wi-fi?

Если вышеуказанный вариант не поможет и не заработает, сделаем.

 

Чур и я в очереди...

[mikey]

И не получится ли, что я не смогу зайти в блог скажем в ресторанчике где есть wi-fi?

В админку WP да не получится зайти
 

Wordpress уже давно можно как полноценную CMS использовать

Это я знаю.
Сам уже не первый год на WP сижу.

Но просто мне уже давно предлагали прекратить заниматься "воинствующим дилетантизмом"
(Всякими экспериментами с темами и  плагинами)
И перейти на NetCat.

Дело в том, что платные CMS избавляют от целого спектра головной  боли.

А WP содержит целый ряд  внутренних проблем.
Не случайно небезызвестный Максим, который учился у самого Скоробогатова, потом свою CMS  разработал.

Потом я думаю, что если человек имеет с сайта  достаточные доходы.
При этом сам профессиональным php-разработчиком НЕ является
(Курсы ака Попов тут не считаются)
То ему вполне имеет смысл перейти на платную CMS

НО это лишь мое имхо
PS
А потом я лично прекрасно понимаю хостеров.
Если раньше на ВП работали в основном программеры
(Тот же Скоробогатов, Белотицкий и др)
Тут теперь сайты на ВП могут создавть все кому не лень
(Спасибо Попову за это?)

Поэтому те ограничения, которые сделал хостер я считаю вполне нормальными.
И убирать их не планирую.
Ну не считаю я себя спецом по комп безопасности.
А ставить разные там плагины.... Но это опять таки из серии "воинствующего дилетантизма"
 

[Катя (Aki Astarta)]

Доброго времени)
 
Веселье продолжается:

Чудесно, сайт опять "пропал" Not Found The requested URL / was not found on this server.

Это, оказывается, сделала я Дальше должно быть много нечитабельного текста, но постараюсь сдержаться
 
Узнала у хостера:
1) пока будет длится атака (а сколько она будет длится, конечно же, никто не знает), на моем сервере будет блокироваться любой файл с именем wp-login.php, в какой бы папке он не прятался, так как атака направлена именно на него;
2) серверы, расположенные в США, не атакуются. Хостер предложил переезд. Как вариант...
 

Вы создали папку на хосте для wp-login.php? Прописали эту папку в настройках плагина? Переместили в эту папку файл wp-login.php?

Да, Сергей, теперь все это сделала, спасибо Не могу понять, надо его переименовывать или нет.   Когда ввожу  в адресной строке WordPress Login URL (название созданной папки) сайт отдает содержание этой папки с ссылками

Index of /туточки url

• Parent Directory
• wp-login.php

 

 

3) Можно попросить хостера вообще резать трафик за пределами СНГ (как правило, хакерские IP где-то в другом месте совсем).

madFobos, спасибо. Этот вариант мне точно не подходит, у меня %10 трафика "за пределами СНГ", вроде мало, но из покупателей - примерно четверть. А это ведь значит, что у них не будет доступа к сайту.
 
Временно вопрос с доступом решила шиворот-навыворот: материалы вынесла для скачивания на стороннем ресурсе, а ссылки отправила клиентам.

 

Потом я думаю, что если человек имеет с сайта достаточные доходы. При этом сам профессиональным php-разработчиком НЕ является <...>То ему вполне имеет смысл перейти на платную CMS

 
mikey, Вячеслав, в целом, с вами согласна. Но ключевой момент здесь "если человек имеет с сайта достаточные доходы". Не могу назвать сейчас  доходы со своего сайта достаточными. но это совсем другая тема, флудить не буду

[Сергей (ex-Gudvin)]

Чудесно, сайт опять "пропал" Not Found The requested URL / was not found on this server. Это, оказывается, сделала я

 

Что именно вы сделали не так?

 

1) пока будет длится атака (а сколько она будет длится, конечно же, никто не знает), на моем сервере будет блокироваться любой файл с именем wp-login.php, в какой бы папке он не прятался, так как атака направлена именно на него;

 

Мы будем его переименовывать...

 

Не могу понять, надо его переименовывать или нет. Когда ввожу в адресной строке WordPress Login URL (название созданной папки) сайт отдает содержание этой папки с ссылками

 

Переименовывать не нужно... Да и плагин, похоже, работает не адекватно... Либо ему мешают какие-нибудь другие плагины. Надо же, другие две функции проверил, прежде чем дать рекомендацию, а эту не стал, и именно эта функция не заработала...

 

Верните всё обратно, Катя, сделайте настройки этого плагина дефолтными, удалите этот плагин и очистите кеш wordpress... Cейчас сделаем по другому - переименуем wp-login.php.

 

Итак:

 

1. Прописываем в .htaccess (из корня сайта) следующий код:

<Files wp-login.php>
Order Deny,Allow
Deny from all
</Files>

Тот код, что прописал хостер - удаляем... Он, по сути, такой же, только с добавлением IP, с которого разрешён доступ к указанному файлу (wp-login.php).

 

Хоть мы и переименуем wp-login.php, но при атаке (обращению к этому файлу) будет выдаваться ошибка 404 (Не найдено), а это будет создавать нагрузку на сервер... Поэтому, вышеуказанным кодом, мы просто запретим доступ к этому несуществующему файлу, что убережёт сервер от нагрузки.

2. Делаем на всякий случай резервные копии файлов wp-login.php и /wp-includes/general-template.php.

3. Переименовываем файл wp-login.php по своему усмотрению... Я сделаю, например, так - secentry.php.

4. В файлах wp-login.php и /wp-includes/general-template.php находим все фразы "wp-login.php" и заменяем их на "secentry.php" (в моём случае).

5. Если сайт кешируется, очищаем кеш.

 

Теперь ссылка входа на сайт будет выглядеть таким образом - мойсайт.ру/secentry.php (в моём случае)... И, как и вы, так и ваши пользователи смогут авторизовываться и регистрироваться на вашем сайте... А хакеры пусть долбят несуществующий wp-login.php.