Блокировка подбора паролей средствами mod rewrite

Материал из 1GbWiki.

Перейти к: навигация, поиск

Последнее время участились случаи подбора паролей к сайтам. Даже если у вас сложный пароль и его не взломают это создает большую нагрузку на сервер.

Способ защиты от повторения проблемы:

1. перейдите на страницу http://rekby.1gb.ru/service/set_password_to_login_page
2. введите там данные для доступа к вашему сайту, для хостинга 1Гб их можно взять на странице https://www.1gb.ru/c/pass или https://www.1gb.ua/c/pass 
3. Нажмите кнопку Set и запомните пароль, который будет выдан
4. Перейдите на ваш сайт к файлу __1gb__setcookie.php (например если ваш сайт www.test.ru - перейдите по адресу www.test.ru/__1gb__setcookie.php ) и введите там этот пароль

Теперь с вашего компьютера можно входить в админку сайта, а с других компьютеров - нет, для них будет выдаваться ошибка доступа.

Чтобы войти в админку с другого компьютера - нужно запустить __1gb__setcookie.php и ввести запомненный пароль.

[править] Как это работает

Сервис http://rekby.1gb.ru/service/set_password_to_login_page подключается к вашему сайту и добавляет в .htaccess правила, разрешающие доступ к вводу логина только с наличием определенного cookie, скрипт __1gb__setcookie.php - устанавливает cookie в ваш браузер. Если вам интересны подробности - посмотрите файлы .htaccess и __1gb__setcookie.php, там всё просто.

На данный момент закрывается доступ к файлу wp-login.php и папкам wp-admin и administrator, если нужно закрыть что-то еще - поправьте файл .htaccess.

[править] Безопасность

  1. Сервис нигде не сохраняет введенные пароли, тем не менее вы можете поменять пароль на FTP после этой операции
  2. Пароль, сгенерированный системой можно давать всем вашим администраторам и при необходимости пользователям сайта. Знание этого пароля позволит введить пароли при входе в админку, но дополнительного доступа никуда не дает. Иными словами если этот пароль неизвестен - доступ более ограничен. Если этот пароль кто-то узнает - у него будет тот же доступ, что и до установки такой защиты.

[править] Забыл пароль

Пароль можно снова поменять через этот же сервис на новый, либо посмотреть в .htaccess, он написан после знака равно в строке:

RewriteCond %%{HTTP_COOKIE} !gb_anti_ddos
Личные инструменты