Блокировка подбора паролей средствами mod rewrite

Материал из 1GbWiki.

Версия от 09:24, 30 марта 2013; Rekby (Обсуждение | вклад)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск

Последнее время участились случаи подбора паролей к сайтам. Даже если у вас сложный пароль и его не взломают это создает большую нагрузку на сервер.

Способ защиты от повторения проблемы:

1. перейдите на страницу http://rekby.1gb.ru/service/set_password_to_login_page
2. введите там данные для доступа к вашему сайту, для хостинга 1Гб их можно взять на странице https://www.1gb.ru/c/pass или https://www.1gb.ua/c/pass 
3. Нажмите кнопку Set и запомните пароль, который будет выдан
4. Перейдите на ваш сайт к файлу __1gb__setcookie.php (например если ваш сайт www.test.ru - перейдите по адресу www.test.ru/__1gb__setcookie.php ) и введите там этот пароль

Теперь с вашего компьютера можно входить в админку сайта, а с других компьютеров - нет, для них будет выдаваться ошибка доступа.

Чтобы войти в админку с другого компьютера - нужно запустить __1gb__setcookie.php и ввести запомненный пароль.

Как это работает

Сервис http://rekby.1gb.ru/service/set_password_to_login_page подключается к вашему сайту и добавляет в .htaccess правила, разрешающие доступ к вводу логина только с наличием определенного cookie, скрипт __1gb__setcookie.php - устанавливает cookie в ваш браузер. Если вам интересны подробности - посмотрите файлы .htaccess и __1gb__setcookie.php, там всё просто.

На данный момент закрывается доступ к файлу wp-login.php и папкам wp-admin и administrator, если нужно закрыть что-то еще - поправьте файл .htaccess.

Безопасность

  1. Сервис нигде не сохраняет введенные пароли, тем не менее вы можете поменять пароль на FTP после этой операции
  2. Пароль, сгенерированный системой можно давать всем вашим администраторам и при необходимости пользователям сайта. Знание этого пароля позволит введить пароли при входе в админку, но дополнительного доступа никуда не дает. Иными словами если этот пароль неизвестен - доступ более ограничен. Если этот пароль кто-то узнает - у него будет тот же доступ, что и до установки такой защиты.

Забыл пароль

Пароль можно снова поменять через этот же сервис на новый, либо посмотреть в .htaccess, он написан после знака равно в строке:

RewriteCond %%{HTTP_COOKIE} !gb_anti_ddos
Личные инструменты