Блокировка подбора паролей средствами mod rewrite
Материал из 1GbWiki.
Версия 14:00, 15 октября 2012 (править) Rekby (Обсуждение | вклад) (Новая: Последнее время участились случаи подбора паролей к сайтам. Даже если у вас сложный пароль и его не вз...) ← К предыдущему изменению |
Версия 14:01, 15 октября 2012 (править) (отменить) Rekby (Обсуждение | вклад) К следующему изменению → |
||
Строка 2: | Строка 2: | ||
Способ защиты от повторения проблемы: | Способ защиты от повторения проблемы: | ||
- | + | 1. перейдите на страницу http://rekby.1gb.ru/service/set_password_to_login_page | |
- | + | 2. введите там данные для доступа к вашему сайту, для хостинга 1Гб их можно взять на странице https://www.1gb.ru/c/pass или https://www.1gb.ua/c/pass | |
- | + | 3. Нажмите кнопку Set и запомните пароль, который будет выдан | |
- | + | 4. Перейдите на ваш сайт к файлу __1gb__setcookie.php (например если ваш сайт www.test.ru - перейдите по адресу www.test.ru/__1gb__setcookie.php ) и введите там этот пароль | |
Теперь с вашего компьютера можно входить в админку сайта, а с других компьютеров - нет, для них будет выдаваться ошибка доступа. | Теперь с вашего компьютера можно входить в админку сайта, а с других компьютеров - нет, для них будет выдаваться ошибка доступа. | ||
Строка 19: | Строка 19: | ||
# Сервис нигде не сохраняет введенные пароли, тем не менее вы можете поменять пароль на FTP после этой операции | # Сервис нигде не сохраняет введенные пароли, тем не менее вы можете поменять пароль на FTP после этой операции | ||
# Пароль, сгенерированный системой можно давать всем вашим администраторам и при необходимости пользователям сайта. Знание этого пароля позволит введить пароли при входе в админку, но дополнительного доступа никуда не дает. Иными словами если этот пароль неизвестен - доступ более ограничен. Если этот пароль кто-то узнает - у него будет тот же доступ, что и до установки такой защиты. | # Пароль, сгенерированный системой можно давать всем вашим администраторам и при необходимости пользователям сайта. Знание этого пароля позволит введить пароли при входе в админку, но дополнительного доступа никуда не дает. Иными словами если этот пароль неизвестен - доступ более ограничен. Если этот пароль кто-то узнает - у него будет тот же доступ, что и до установки такой защиты. | ||
- | # |
Версия 14:01, 15 октября 2012
Последнее время участились случаи подбора паролей к сайтам. Даже если у вас сложный пароль и его не взломают это создает большую нагрузку на сервер.
Способ защиты от повторения проблемы:
1. перейдите на страницу http://rekby.1gb.ru/service/set_password_to_login_page 2. введите там данные для доступа к вашему сайту, для хостинга 1Гб их можно взять на странице https://www.1gb.ru/c/pass или https://www.1gb.ua/c/pass 3. Нажмите кнопку Set и запомните пароль, который будет выдан 4. Перейдите на ваш сайт к файлу __1gb__setcookie.php (например если ваш сайт www.test.ru - перейдите по адресу www.test.ru/__1gb__setcookie.php ) и введите там этот пароль
Теперь с вашего компьютера можно входить в админку сайта, а с других компьютеров - нет, для них будет выдаваться ошибка доступа.
Чтобы войти в админку с другого компьютера - нужно запустить __1gb__setcookie.php и ввести запомненный пароль.
Как это работает
Сервис http://rekby.1gb.ru/service/set_password_to_login_page подключается к вашему сайту и добавляет в .htaccess правила, разрешающие доступ к вводу логина только с наличием определенного cookie, скрипт __1gb__setcookie.php - устанавливает cookie в ваш браузер. Если вам интересны подробности - посмотрите файлы .htaccess и __1gb__setcookie.php, там всё просто.
На данный момент закрывается доступ к файлу wp-login.php и папкам wp-admin и administrator, если нужно закрыть что-то еще - поправьте файл .htaccess.
Безопасность
- Сервис нигде не сохраняет введенные пароли, тем не менее вы можете поменять пароль на FTP после этой операции
- Пароль, сгенерированный системой можно давать всем вашим администраторам и при необходимости пользователям сайта. Знание этого пароля позволит введить пароли при входе в админку, но дополнительного доступа никуда не дает. Иными словами если этот пароль неизвестен - доступ более ограничен. Если этот пароль кто-то узнает - у него будет тот же доступ, что и до установки такой защиты.