Безопасность сайта

Chernetskiy · November 20, 2013

Ковырялся с сайтом на Wordpress, спустя неделю обнаружил на сайте полсотни левых регистраций, судя по всему от спамеров и роботов. В основном с e-mail адресами от hotmail.com (У находящихся в Великобритании спам, мошенничество и рассылка троянов для получения доступа к личным данным и платежным реквизитам в порядке вещей)

Пару дней назад почтовый ящик, который был создан специально для нового сайта на CMS Sitebill, привязан к Яндекс.Почте и нигде, кроме как на новом сайте пока не афишировался, был забросан письмами с троянами. О чем меня уведомил Яндекс и заблокировал почту. О содержимом писем ничего не скажу - не открывал. Вроде левых регистраций на новом сайте тоже не нашел, однако всё это наводит на мысль:

1. Наверное имеет смысл добавить капчу на страницу авторизации, пока она только на странице регистрации а любимое мероприятие хакеров - подбирать пароли админа, еще никто не отменял и это направление не защищено.

2. Поскольку на графическую капчу существует антикапча и с этим она справляется на ура, может быть стоит сменить капчу на вариант "вопрос-ответ", такие например есть для Wordpress. Пользователю предлагается произвести арифметическое действие а результат он вносит в окно цифрами или наоборот - варианты устанавливает админ - один или несколько на выбор плагина.

3. Отказывать на 10-30 мин. доступ в админку при 3-5 неудачных попытках подбора пароля или ввести вариант подтверждения через СМС и т.п.

Дмитрий Кондин · November 21, 2013

В будущем добавим возможность двухуровневой авторизации.

И по желанию капчу на авторизацию.

А пароль в админку случайно не admin admin? )

TopRaN · November 21, 2013

я давно делаю сайты, в том числе и на вордпресс, лучшей капчи чем от гугл я не встречал. re-captcha/

еще для авторизации используются плагин lockdown, блокировка аккуанта и ip на определенное количество времени ( так же можно настроить количество попыток авторизации.

abushyk · November 21, 2013

лучшей капчи чем от гугл я не встречал. re-captcha/

У гулокапчи есть один весомы минус - ее нельзя влепить более чем одну штуку на текущую страницу, в связи с конструктивными особенностями. А на сайтбилле часто встречается ситуация, что их, как минимум, 2 за раз выводится - например одна в форме регистрации, а вторая в добавлении объявления незарегистрированным пользователем.

XTRO · April 21, 2014

я добавил в .htaccess (подробнee в PM)

Options +FollowSymLinksRewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})RewriteRule ^(.*)$ index.php [F,L]

Дмитрий Кондин · April 22, 2014

я добавил в .htaccess (подробнee в PM)

Options +FollowSymLinksRewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})RewriteRule ^(.*)$ index.php [F,L]

Только вот бывают случаи когда в REQUEST нам нужны не буквенные и не цифровые значения.

Можете пояснить что конкретно вырезают эти строчки?

XTRO · April 22, 2014

чтобы не было вот такого (вроде в PM отписался).

Дмитрий Кондин · April 22, 2014

чтобы не было вот такого (вроде в PM отписался).

Нам нечего стесняться, пишите сюда )

Chernetskiy · April 23, 2014

У меня .htaccess чуть поболее будет, заодно засунул основные адреса, откуда чаще всего ломают сайты, количество попыток взлома резко сократилось, пожалуй за последний месяц ни одной. Все это работает в увязке с Wordfense в Wordpress:

#WFIPBLOCKS - Do not remove this line. Disable Web Caching in Wordfence to remove this data.
Order Deny,Allow
Deny from 176.102.37.60
Deny from 5.19.234.35
Deny from 46.118.127.32
Deny from 184.154.88.18
Deny from 210.172.144.32
Deny from 54.254.240.147
Deny from 213.125.101.59
Deny from 83.99.139.223
Deny from 91.202.25.217
Deny from 188.132.210.36
Deny from 94.230.163.22
Deny from 5.166.217.190
Deny from 88.196.133.245
Deny from 199.246.2.94
Deny from 184.82.179.101
Deny from 209.59.133.206
Deny from 106.187.102.104
Deny from 31.25.28.142
Deny from 91.221.70.208
Deny from 50.28.80.217
Deny from 91.200.14.72
Deny from 85.214.50.184
Deny from 95.158.48.96
Deny from 211.110.140.70
Deny from 146.185.232.226
Deny from 91.200.13.64
Deny from 91.207.7.49
#Do not remove this line. Disable Web Caching in Wordfence to remove this data - WFIPBLOCKS
#WFCACHECODE - Do not remove this line. Disable Web Caching in Wordfence to remove this data.
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/css text/x-component application/x-javascript application/javascript text/javascript text/x-js text/html text/richtext image/svg+xml text/plain text/xsd text/xsl text/xml image/x-icon application/json
<IfModule mod_headers.c>
Header append Vary User-Agent env=!dont-vary
</IfModule>
<IfModule mod_mime.c>
AddOutputFilter DEFLATE js css htm html xml
</IfModule>
</IfModule>
<IfModule mod_mime.c>
AddType text/html .html_gzip
AddEncoding gzip .html_gzip
AddType text/xml .xml_gzip
AddEncoding gzip .xml_gzip
</IfModule>
<IfModule mod_setenvif.c>
SetEnvIfNoCase Request_URI \.html_gzip$ no-gzip
SetEnvIfNoCase Request_URI \.xml_gzip$ no-gzip
</IfModule>
<IfModule mod_headers.c>
Header set Vary "Accept-Encoding, Cookie"
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{HTTPS} on
RewriteRule .* - [E=WRDFNC_HTTPS:_https]
RewriteCond %{HTTP:Accept-Encoding} gzip
RewriteRule .* - [E=WRDFNC_ENC:_gzip]
RewriteCond %{REQUEST_METHOD} !=POST
RewriteCond %{HTTPS} off
RewriteCond %{QUERY_STRING} ^(?:\d+=\d+)?$
RewriteCond %{REQUEST_URI} (?:\/|\.html)$ [NC]
RewriteCond %{HTTP_COOKIE} !(comment_author|wp\-postpass|wf_logout|wordpress_logged_in|wptouch_switch_toggle|wpmp_switcher) [NC]

RewriteCond %{REQUEST_URI} \/*([^\/]*)\/*([^\/]*)\/*([^\/]*)\/*([^\/]*)\/*([^\/]*)(.*)$
RewriteCond "%{DOCUMENT_ROOT}/wp-content/wfcache/%{HTTP_HOST}_%1/%2~%3~%4~%5~%6_wfcache%{WRDFNC_HTTPS}.html%{ENV:WRDFNC_ENC}" -f
RewriteRule \/*([^\/]*)\/*([^\/]*)\/*([^\/]*)\/*([^\/]*)\/*([^\/]*)(.*)$ "/wp-content/wfcache/%{HTTP_HOST}_$1/$2~$3~$4~$5~$6_wfcache%{WRDFNC_HTTPS}.html%{ENV:WRDFNC_ENC}" [L]
</IfModule>
#Do not remove this line. Disable Web caching in Wordfence to remove this data - WFCACHECODE
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

Chernetskiy · April 23, 2014

А вот еще списочек хакеров, которые пытались ломать мой сайт под именем "admin"... наивные

Kiselev, Ukraine

IP: 91.207.7.49 [unblock] [permanently blocked]

Reason: Manual permanent block by admin

Hostname: 49.7.207.91.unknown.SteepHost.Net

No attempts have been made to access the site since this IP was blocked.

0 hits before blocked
0 blocked hits
Permanently blocked

Lansing, United States

IP: 50.28.80.217 [unblock] [permanently blocked]