Ок
Кто-нибудь подобные письма от хостеров получал?
#21
Отправлено 03 Август 2013 - 21:03
#22
Отправлено 04 Август 2013 - 08:28
Я закачал соответствующий файл по фтп
Я просто убрал решетку #
И вместо "My_IP" вставил свой IP
И закачал файл обратно на хост
Вы только учтите, что подобным образом вы ограничниваете доступ к wp-login.php Только с вашего IP. И если у вас свободная регистрация на блоге, то больше доступа к файлу никто иметь не будет. Для полного доступа нужно удадить всю конструкцию <Files wp-login.php></Files> или закомментить каждую строчку, добавив в начало символ #.
#23
Отправлено 04 Август 2013 - 09:10
Вы только учтите, что подобным образом вы ограничниваете доступ к wp-login.php Только с вашего IP.
Артем, это я прекрасно знаю
Но сейчас с моим блогом работаю только я.
Какое либо чужое участие в ближайшее время не планируется
И если у вас свободная регистрация на блоге,
Я специально убрал свободную регистрацию.
И после того, как уничтожил некоторые файлы.
Нелегальная рассылка с моего блога прекратилась. НО это еще тогда было
Для полного доступа нужно удадить всю конструкцию <Files wp-login.php></Files> или закомментить каждую строчку, добавив в начало символ #.
Это я знаю.
Но раз хостер так хочет, я пока не вижу серьезных причин ему перечить
"Всё будет замечтательно "
#24
Отправлено 04 Август 2013 - 10:46
Спросил у хостера, но он ещё не ответил.
Пришёл довольно-таки странный ответ от хостера:
Здравствуйте.
Это не имеет смысла так как все необходимые меры уже были приняты.
Не "имеет смысла", в данном случае, сообщать клиентам о завершении атаки... Попросил более внятного ответа, получил это:
Здравствуйте.
Атаки пока продолжаются. Узнать о их завершении вы можете убрав записи в
.htaccess. Если в логе доступа после этого не будет активности в отношении
Вашей админки, то запись можно не возвращать.
Причиной вмешательства в данные сайта была необходимость предотвратить взлом
Вашего ПО и загрузку вредоносного контента на хостинг.
Подобная активность в отношении используемого Вами ПО так же вызывала нагрузку
на сервере, что мешало его стабильной работе.
Вы можете удалить все запрещающие вход директивы в файле .htaccess, при этом,
нет гарантий того, что работа Вашего аккаунта не будет приостановлена по
лимитам нагрузки из-за взлома Вашего ПО.
Я понял так, что хостер предлагает оставить данное ограничения по IP насовсем... Но, как говорит madFobos, как в таком случае быть сайтам с аккаунтами пользователей и с регистрацией новых аккаунтов? А также, как быть с динамичным IP админов таких сайтов? Перед каждым входом в админку редактировать .htaccess?
Переписка с хостером продолжается...
Кто счастлив, тот и прав. (Л. Н. Толстой)
#25
Отправлено 04 Август 2013 - 11:48
Переписка с хостером продолжается...
Ответ получен:
Здравствуйте.
На текущий момент решения Вашего вопроса пока нет. Наши специалисты занимаются
его поиском. Как только оно будет найдено мы незамедлительно Вам сообщим.
Приносим извинения за доставленные неудобства.
Это ответ на вопрос о том, как быть с авторизацией других пользователей на моём сайте и с регистрацией новых... И что-то фразы подобные этим - "ищем решение вашей проблемы", "обязательно сообщим о решении" и т.д. - судя по жизненному опыту, не вселяют большой надежды...
Кто счастлив, тот и прав. (Л. Н. Толстой)
#26
Отправлено 04 Август 2013 - 14:25
как быть с авторизацией других пользователей на моём сайте и с регистрацией новых...
У меня, оказывается, та же проблема возникла: пользователи войти не могут. Я - могу, а они нет.
Хостер предложил решение: переименовать файл /труту-ту.ком/wp-login.php - у меня с него идет вход на сайт. И, как я поняла, на всех сайтах на вордпрессе вход идет с этой страницы и именно ее (или одну-из) атакуют злоумышленники.
Если переназвать этот файл, действительно можно будет войти без проблем, как думаете?
(боюсь проверять, чтоб ничего не поломать )
#27
Отправлено 04 Август 2013 - 14:41
Хостер предложил решение: переименовать файл /труту-ту.ком/wp-login.php
Если переназвать этот файл, действительно можно будет войти без проблем, как думаете?
http://ru.forums.wor...pic/wp-loginphp
Кто счастлив, тот и прав. (Л. Н. Толстой)
#28
Отправлено 04 Август 2013 - 15:11
Сергей, спасибо за ссылку. Прочитала. Поняла, что с нулевым знанием php лучше вообще не соваться.
Это значит, как минимум, будет проблемна (или невозможна) регистрация новых пользователей?
#29
Отправлено 04 Август 2013 - 15:47
Откровенно сказать не совсем понимаю зачем нужна регистрация новых пользовтелей на ВП?
1. Если чел хочет получать обновления с сайта, то он может подписаться на RSS или Атом
Потом там разные фидбурнеры есть
Наконец можно сделать рассылку и слать сообщения о новых постах на е-мейл.
2. Потом, так понимаю что можно в файл написать несколько строчек со значениями ip для своих??
3. А так вообще ВП не предназначен для коллективной работы.
Я думаю, что серьезные коллективные проекты скорее будут делать на
UmiCMS
Битрикс
NetCat
и других платных СMS
WordPress --- это скорее движок для одиноких блогеров, имхо
"Всё будет замечтательно "
#30
Отправлено 04 Август 2013 - 16:15
1. Если чел хочет получать обновления с сайта, то он может подписаться на RSS или Атом Потом там разные фидбурнеры есть Наконец можно сделать рассылку и слать сообщения о новых постах на е-мейл.
Это присутствует в функционале практически любого сайта... Но многие к рекгистрации привязывают дополнительные возможности по пользованию сайтом (комментирование публикаций, скачивание файлов, доступ к закрытым публикациям и т.д.)... А у Кати, так вообще, насколько я понял, на сайте присутствуют платные разделы, в которые она продаёт доступы...
3. А так вообще ВП не предназначен для коллективной работы. Я думаю, что серьезные коллективные проекты скорее будут делать на UmiCMS Битрикс NetCat и других платных СMS
Возможно, но и на Wordpress можно сделать коллектив ресурс (пример 1, пример 2), используя определённые плагины...
WordPress --- это скорее движок для одиноких блогеров
Зачем же нужны такие блоги, без возможности спросить/прокомментировать/и т.д. публикацию... Без обратной связи очень сложно вести блог!
Кто счастлив, тот и прав. (Л. Н. Толстой)
#31
Отправлено 04 Август 2013 - 17:21
Сергей, спасибо за ссылку. Прочитала. Поняла, что с нулевым знанием php лучше вообще не соваться. Это значит, как минимум, будет проблемна (или невозможна) регистрация новых пользователей?
Можно воспользоваться, например, вот этим плагином, с помощью которого вы сможете перенести wp-login.php из корня сайта в другое место:
...и, если нужно, настроить другие ограничения доступа к админке, например, http-аутентификацию:
Кто счастлив, тот и прав. (Л. Н. Толстой)
#33
Отправлено 04 Август 2013 - 21:34
Но многие к рекгистрации привязывают дополнительные возможности по пользованию сайтом (комментирование публикаций, скачивание файлов, доступ к закрытым публикациям и т.д.)... А у Кати, так вообще, насколько я понял, на сайте присутствуют платные разделы, в которые она продаёт доступы...
Да, все верно (хотя с такими "приколами" подумываю сменить модель продажи). И именно поэтому мне важна возможность регистрировать новых пользователей и "старым" заходить на сайт. Сейчас из-за этого брутфорса (надеюсь, слово правильно написала), пользователи на сайт попасть не могут: идет 301 ошибка, то есть множественные редиректы - это защиту от атаки поставил хостер...
Можно воспользоваться, например, вот этим плагином, с помощью которого вы сможете перенести wp-login.php из корня сайта в другое место:
Сергей, спасибо. Плагин поставила (это я умею ), и теперь при входе на wp-admin.php и wp-login.php сайт показывает 404 ошибку, то есть эти страницы "спрятаны". Вопросы возникли с новой страницей входа. Когда вбиваешь новый адрес (заданный в плагине) в адресную строку, сайт отдает:
Warning: include(/home/труляля/public_html/бал-бла-бла//wp-login.php) [function.include]: failed to open stream: Permission denied in /home/труляля/public_html/бал-бла-бла/wp-content/plugins/lockdown-wp-admin/lockdown-wp-admin.php on line 607
Причем в папке с плагинами нет ни этого файла, ни вообще папки lockdown-wp-admin Сейчас вожусь, думаю, может, где в настройках напутала...
Чудесно, сайт опять "пропал"
Not Found
The requested URL / was not found on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Чудесно, сайт опять "пропал"
Нормально, все сайты с той же ошибкой - видимо, хостер что-то "лечит", пока ночь и вроде как все нормальные люди должны уже спать
#34
Отправлено 04 Август 2013 - 23:32
хотя с такими "приколами" подумываю сменить модель продажи
Если кроме этого небольшого недоразумения всё остальное работает хорошо, удобно и исправно, то не стоит... Думаю, мы найдём решение данной проблемы.
Когда вбиваешь новый адрес (заданный в плагине) в адресную строку, сайт отдает:
Вы создали папку на хосте для wp-login.php? Прописали эту папку в настройках плагина? Переместили в эту папку файл wp-login.php?
Причем в папке с плагинами нет ни этого файла, ни вообще папки lockdown-wp-admin
Вам пока эта папка и файл не нужны.
сайт опять "пропал"Not Found
The requested URL / was not found on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Нормально, все сайты с той же ошибкой - видимо, хостер что-то "лечит"
Да похоже он опять Вас снова просто вырубил из-за какой-то нагрузки...
Выберите хостинг для пробного использования, продублируем на нём сайт, посмотрим как будет работать.
пока ночь и вроде как все нормальные люди должны уже спать
Технические работы стараются проводить рано утром (примерно с 5:00 до 7:00 по Москве), когда на ресурсах минимальная посещаемость.
Кто счастлив, тот и прав. (Л. Н. Толстой)
#35
Отправлено 05 Август 2013 - 07:18
Откровенно сказать не совсем понимаю зачем нужна регистрация новых пользовтелей на ВП?
Вообще-то много зачем, Wordpress уже давно можно как полноценную CMS использовать. Посмотрите мой сайт в подписи, для примера. При регистрации клиентам дается доступ к закрытым материалам, идет автоподписка в mailchimp. При покупке курсов опять же аккаунтам дается дополнительные доступы к материалам. И все это на полном автомате.
Вообще, я вижу три варианта:
1) Все-таки перенести авторизацию wp-login.php в другой файл. Не можете сами, фрилансеры рублей за 500 сделают.
2) Использовать плагин для ограничения попыток авторизации (хотя может не помочь, если IP постоянно меняются + нагрузка все равно будет): http://devel.kostdok...-login-attempts
3) Можно попросить хостера вообще резать трафик за пределами СНГ (как правило, хакерские IP где-то в другом месте совсем).
#36
Отправлено 05 Август 2013 - 08:23
1) Все-таки перенести авторизацию wp-login.php в другой файл. Не можете сами, фрилансеры рублей за 500 сделают.
Если вышеуказанный вариант не поможет и не заработает, сделаем. Я у одного своего клиента так сделал.
Кто счастлив, тот и прав. (Л. Н. Толстой)
#37
Отправлено 05 Август 2013 - 10:01
Вы только учтите, что подобным образом вы ограничниваете доступ к wp-login.php Только с вашего IP. И если у вас свободная регистрация на блоге, то больше доступа к файлу никто иметь не будет. Для полного доступа нужно удадить всю конструкцию или закомментить каждую строчку, добавив в начало символ #.
А можно еще раз для не самых умных?
Что именно изменить?
И не получится ли, что я не смогу зайти в блог скажем в ресторанчике где есть wi-fi?
Если вышеуказанный вариант не поможет и не заработает, сделаем.
Чур и я в очереди...
#38
Отправлено 05 Август 2013 - 12:59
И не получится ли, что я не смогу зайти в блог скажем в ресторанчике где есть wi-fi?
В админку WP да не получится зайти
Wordpress уже давно можно как полноценную CMS использовать
Это я знаю.
Сам уже не первый год на WP сижу.
Но просто мне уже давно предлагали прекратить заниматься "воинствующим дилетантизмом"
(Всякими экспериментами с темами и плагинами)
И перейти на NetCat.
Дело в том, что платные CMS избавляют от целого спектра головной боли.
А WP содержит целый ряд внутренних проблем.
Не случайно небезызвестный Максим, который учился у самого Скоробогатова, потом свою CMS разработал.
Потом я думаю, что если человек имеет с сайта достаточные доходы.
При этом сам профессиональным php-разработчиком НЕ является
(Курсы ака Попов тут не считаются)
То ему вполне имеет смысл перейти на платную CMS
НО это лишь мое имхо
PS
А потом я лично прекрасно понимаю хостеров.
Если раньше на ВП работали в основном программеры
(Тот же Скоробогатов, Белотицкий и др)
Тут теперь сайты на ВП могут создавть все кому не лень
(Спасибо Попову за это?)
Поэтому те ограничения, которые сделал хостер я считаю вполне нормальными.
И убирать их не планирую.
Ну не считаю я себя спецом по комп безопасности.
А ставить разные там плагины.... Но это опять таки из серии "воинствующего дилетантизма"
"Всё будет замечтательно "
#39
Отправлено 05 Август 2013 - 15:29
Доброго времени)
Веселье продолжается:
Чудесно, сайт опять "пропал" Not Found The requested URL / was not found on this server.
Это, оказывается, сделала я Дальше должно быть много нечитабельного текста, но постараюсь сдержаться
Узнала у хостера:
1) пока будет длится атака (а сколько она будет длится, конечно же, никто не знает), на моем сервере будет блокироваться любой файл с именем wp-login.php, в какой бы папке он не прятался, так как атака направлена именно на него;
2) серверы, расположенные в США, не атакуются. Хостер предложил переезд. Как вариант...
Вы создали папку на хосте для wp-login.php? Прописали эту папку в настройках плагина? Переместили в эту папку файл wp-login.php?
Да, Сергей, теперь все это сделала, спасибо Не могу понять, надо его переименовывать или нет. Когда ввожу в адресной строке WordPress Login URL (название созданной папки) сайт отдает содержание этой папки с ссылками
Index of /туточки url
- Parent Directory
- wp-login.php
3) Можно попросить хостера вообще резать трафик за пределами СНГ (как правило, хакерские IP где-то в другом месте совсем).
madFobos, спасибо. Этот вариант мне точно не подходит, у меня %10 трафика "за пределами СНГ", вроде мало, но из покупателей - примерно четверть. А это ведь значит, что у них не будет доступа к сайту.
Временно вопрос с доступом решила шиворот-навыворот: материалы вынесла для скачивания на стороннем ресурсе, а ссылки отправила клиентам.
Потом я думаю, что если человек имеет с сайта достаточные доходы. При этом сам профессиональным php-разработчиком НЕ является <...>То ему вполне имеет смысл перейти на платную CMS
mikey, Вячеслав, в целом, с вами согласна. Но ключевой момент здесь "если человек имеет с сайта достаточные доходы". Не могу назвать сейчас доходы со своего сайта достаточными. но это совсем другая тема, флудить не буду
#40
Отправлено 05 Август 2013 - 19:46
Чудесно, сайт опять "пропал" Not Found The requested URL / was not found on this server. Это, оказывается, сделала я
Что именно вы сделали не так?
1) пока будет длится атака (а сколько она будет длится, конечно же, никто не знает), на моем сервере будет блокироваться любой файл с именем wp-login.php, в какой бы папке он не прятался, так как атака направлена именно на него;
Мы будем его переименовывать...
Не могу понять, надо его переименовывать или нет. Когда ввожу в адресной строке WordPress Login URL (название созданной папки) сайт отдает содержание этой папки с ссылками
Переименовывать не нужно... Да и плагин, похоже, работает не адекватно... Либо ему мешают какие-нибудь другие плагины. Надо же, другие две функции проверил, прежде чем дать рекомендацию, а эту не стал, и именно эта функция не заработала...
Верните всё обратно, Катя, сделайте настройки этого плагина дефолтными, удалите этот плагин и очистите кеш wordpress... Cейчас сделаем по другому - переименуем wp-login.php.
Итак:
1. Прописываем в .htaccess (из корня сайта) следующий код:
<Files wp-login.php> Order Deny,Allow Deny from all </Files>
Тот код, что прописал хостер - удаляем... Он, по сути, такой же, только с добавлением IP, с которого разрешён доступ к указанному файлу (wp-login.php).
Хоть мы и переименуем wp-login.php, но при атаке (обращению к этому файлу) будет выдаваться ошибка 404 (Не найдено), а это будет создавать нагрузку на сервер... Поэтому, вышеуказанным кодом, мы просто запретим доступ к этому несуществующему файлу, что убережёт сервер от нагрузки.
2. Делаем на всякий случай резервные копии файлов wp-login.php и /wp-includes/general-template.php.
3. Переименовываем файл wp-login.php по своему усмотрению... Я сделаю, например, так - secentry.php.
4. В файлах wp-login.php и /wp-includes/general-template.php находим все фразы "wp-login.php" и заменяем их на "secentry.php" (в моём случае).
5. Если сайт кешируется, очищаем кеш.
Теперь ссылка входа на сайт будет выглядеть таким образом - мойсайт.ру/secentry.php (в моём случае)... И, как и вы, так и ваши пользователи смогут авторизовываться и регистрироваться на вашем сайте... А хакеры пусть долбят несуществующий wp-login.php.
Кто счастлив, тот и прав. (Л. Н. Толстой)
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 скрытых пользователей