Master-X
Форум | Новости | Статьи
Главная » Форум » Программинг, Скрипты, Софт, Сервисы » 
Тема: Не пашет htaccess
цитата
03/08/13 в 13:40
 Xvost
<FilesMatch wp-login.php>
Order deny,allow
Allow from A.B.C.D
Deny from all
</FilesMatch>

Вот такой код я добавил у себя в вордпрессовый хтаксесс в самое начало и пробовал зайти через мой опенвпн - не пущает.
У товарища на другом хосте выдает - Internal Sever Error!

A.B.C.D я поменял конечно, что такое?
цитата
03/08/13 в 13:46
 ibiz
тоже боты задолбали? trollface.png
намного лучше и меньше нагрузки, если название файла wp-login.php изменить
вот тут вчера бурно обсуждали проблему http://forum.searchengines.ru/showthread.php?t=805626
цитата
03/08/13 в 14:40
 Xvost
Название файла поменял, пришлось и в файле поменять все "wp-login." на новое.
А почему это не работает? <FilesMatch wp-login.php>
Order deny,allow
Allow from A.B.C.D
Deny from all
</FilesMatch>
цитата
03/08/13 в 18:48
 ibiz
не знаю, я сразу радикально почикал все wp-login.php, после того, как мне положили дедик этим бруто-ддосом icon_rolleyes.gif
цитата
03/08/13 в 18:53
 Stek
делаете редирект с wp-login.php на триал файл MS Studio , ловите лулзы. Половина "интер умных ботов" радостно отрабатывает редирект и качает по пол гига на запрос.
цитата
03/08/13 в 19:07
 ibiz
Stek писал:
делаете редирект с wp-login.php на триал файл MS Studio , ловите лулзы. Половина "интер умных ботов" радостно отрабатывает редирект и качает по пол гига на запрос.


думаю, что ботнет который делает по 100-300 запросов в секунду на сервер, умеет отличать редиректы на левые файлы
цитата
03/08/13 в 19:20
 Stek
ibiz: win ботнеты на основе ie нифига не отличают.
цитата
05/08/13 в 08:44
 ibiz
Xvost писал:
<FilesMatch wp-login.php>
Order deny,allow
Allow from A.B.C.D
Deny from all
</FilesMatch>

Вот такой код я добавил у себя в вордпрессовый хтаксесс в самое начало и пробовал зайти через мой опенвпн - не пущает.
У товарища на другом хосте выдает - Internal Sever Error!

A.B.C.D я поменял конечно, что такое?


кстати глянул у себя на одном сайте, у меня такое работает:
<FilesMatch wp-login.php>
order deny,allow
deny from all
allow from 192.168.0.1
</FilesMatch>
цитата
05/08/13 в 10:09
 Xvost
А под ним от ВП:
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]

# add a trailing slash to /wp-admin
RewriteRule ^wp-admin$ wp-admin/ [R=301,L]

RewriteCond %{REQUEST_FILENAME} -f [OR]
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule ^ - [L]
RewriteRule ^(wp-(content|admin|includes).*) $1 [L]
RewriteRule ^(.*\.php)$ $1 [L]
RewriteRule . index.php [L]
цитата
05/08/13 в 10:34
 ibiz
Xvost: ну да, все работает, поставил еще на несколько активных блогов, все без ошибок... хотя боты долбятся очень сильно, впервые так массово

Код:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]

# add a trailing slash to /wp-admin
RewriteRule ^wp-admin$ wp-admin/ [R=301,L]

RewriteCond %{REQUEST_FILENAME} -f [OR]
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule ^ - [L]
RewriteRule ^(wp-(content|admin|includes).*) $1 [L]
RewriteRule ^(.*\.php)$ $1 [L]
RewriteRule . index.php [L]
</IfModule>
<FilesMatch wp-login.php>
order deny,allow
deny from all
allow from 192.168.0.1
</FilesMatch>
цитата
05/08/13 в 10:56
 Stek
ibiz писал:
хотя боты долбятся очень сильно, впервые так массово

Почти неделю уже идет шум по поводу какого то крупного ботнета, ломающего вордпресс.
цитата
05/08/13 в 12:22
 ibiz
Stek писал:
Почти неделю уже идет шум по поводу какого то крупного ботнета, ломающего вордпресс.


ничего не ломают, а делают POST запрос на wp-login.php - брутфорсят простые пароли... когда я тестировал сервер, index.php держит до ~1000 запросов в сек, а вот wp-login.php оказался уязвимой частью, через которую положили дедик квад коре с 8 рам на сас дисках...
цитата
05/08/13 в 14:21
 Stek
в принципе можно в сам wp-login.php вставить строку в начало
Код:

if ($_SERVER['REMOTE_ADDR'] != 'XXX.XXX.XXX.XXX') { die('Access denied'); }

только свой ip указать
цитата
05/08/13 в 15:11
 ibiz
Stek писал:
в принципе можно в сам wp-login.php вставить строку в начало
Код:

if ($_SERVER['REMOTE_ADDR'] != 'XXX.XXX.XXX.XXX') { die('Access denied'); }

только свой ip указать


до первого обновления
вначале я примерно так и решил проблему в wp-login.php добавил <?php exit;
а после обновления через консоль, wp-login.php обновился на новый уже без моих включений
цитата
05/08/13 в 16:29
 pipez
ibiz писал:
кстати глянул у себя на одном сайте, у меня такое работает:
<FilesMatch wp-login.php>
order deny,allow
deny from all
allow from 192.168.0.1
</FilesMatch>


allow надо в конце писать тогда работать будет и диапозон можно указать если айпи динамический - в route по вхуизу определяется
цитата
05/08/13 в 19:54
 12-12-12
Xvost писал:
<FilesMatch wp-login.php>
Order deny,allow
Allow from A.B.C.D
Deny from all
</FilesMatch>



Я так понимаю доступ к wp-login.php ты закрываеш от подбора паролей.
Так вот это очень извращённый способ, потомучто нужно добавить в htaccess ip всех кто ходит в админку и всех кто остовляет каменты.

Не знаю как у тебя но у меня это туча людей потому я поставил капчу на wp-login.php дешево и сердито.


Эта страница в полной версии