Блокировка подбора паролей средствами mod rewrite
Материал из 1GbWiki.
Версия 09:24, 30 марта 2013
Последнее время участились случаи подбора паролей к сайтам. Даже если у вас сложный пароль и его не взломают это создает большую нагрузку на сервер.
Способ защиты от повторения проблемы:
1. перейдите на страницу http://rekby.1gb.ru/service/set_password_to_login_page 2. введите там данные для доступа к вашему сайту, для хостинга 1Гб их можно взять на странице https://www.1gb.ru/c/pass или https://www.1gb.ua/c/pass 3. Нажмите кнопку Set и запомните пароль, который будет выдан 4. Перейдите на ваш сайт к файлу __1gb__setcookie.php (например если ваш сайт www.test.ru - перейдите по адресу www.test.ru/__1gb__setcookie.php ) и введите там этот пароль
Теперь с вашего компьютера можно входить в админку сайта, а с других компьютеров - нет, для них будет выдаваться ошибка доступа.
Чтобы войти в админку с другого компьютера - нужно запустить __1gb__setcookie.php и ввести запомненный пароль.
Как это работает
Сервис http://rekby.1gb.ru/service/set_password_to_login_page подключается к вашему сайту и добавляет в .htaccess правила, разрешающие доступ к вводу логина только с наличием определенного cookie, скрипт __1gb__setcookie.php - устанавливает cookie в ваш браузер. Если вам интересны подробности - посмотрите файлы .htaccess и __1gb__setcookie.php, там всё просто.
На данный момент закрывается доступ к файлу wp-login.php и папкам wp-admin и administrator, если нужно закрыть что-то еще - поправьте файл .htaccess.
Безопасность
- Сервис нигде не сохраняет введенные пароли, тем не менее вы можете поменять пароль на FTP после этой операции
- Пароль, сгенерированный системой можно давать всем вашим администраторам и при необходимости пользователям сайта. Знание этого пароля позволит введить пароли при входе в админку, но дополнительного доступа никуда не дает. Иными словами если этот пароль неизвестен - доступ более ограничен. Если этот пароль кто-то узнает - у него будет тот же доступ, что и до установки такой защиты.
Забыл пароль
Пароль можно снова поменять через этот же сервис на новый, либо посмотреть в .htaccess, он написан после знака равно в строке:
RewriteCond %%{HTTP_COOKIE} !gb_anti_ddos