Recommended Posts

Ковырялся с сайтом на Wordpress, спустя неделю обнаружил на сайте полсотни левых регистраций, судя по всему от спамеров и роботов. В основном с e-mail адресами от hotmail.com (У находящихся в Великобритании спам, мошенничество и рассылка троянов для получения доступа к личным данным и платежным реквизитам в порядке вещей)

 

Пару дней назад почтовый ящик, который был создан специально для нового сайта на CMS Sitebill, привязан к Яндекс.Почте и нигде, кроме как на новом сайте пока не афишировался, был забросан письмами с троянами. О чем меня уведомил Яндекс и заблокировал почту. О содержимом писем ничего не скажу - не открывал. Вроде левых регистраций на новом сайте тоже не нашел, однако всё это наводит на мысль:

 

1. Наверное имеет смысл добавить капчу на страницу авторизации, пока она только на странице регистрации а любимое мероприятие хакеров - подбирать пароли админа, еще никто не отменял и это направление не защищено.

 

2. Поскольку на графическую капчу существует антикапча и с этим она справляется на ура, может быть стоит сменить капчу на вариант "вопрос-ответ", такие например есть для Wordpress. Пользователю предлагается произвести арифметическое действие а результат он вносит в окно цифрами или наоборот - варианты устанавливает админ - один или несколько на выбор плагина. 

 

3. Отказывать на 10-30 мин. доступ в админку при 3-5 неудачных попытках подбора пароля или ввести вариант подтверждения через СМС и т.п.

поддерживаю давно пора, я в день с ящика по 30 писем удаляю!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уважаемые гуру, подскажите как грамотнее организовать блокировку взломщиков в Sitebill ? В Вордпрессе вопрос решаем а вот в Sitebile боюсь накосячить.

Ситуация следующая: В целях безопасности никогда не регистрируюсь под именем "admin", поскольку хакеры и их мудренные программки как правило (в 99% случаев) подбирают доступ к сайту под именами admin, Admin, administrator и Administrator, соответственно требуется сделать так, чтобы при обращении к сайту с таким логином, IP пользователя автоматически блокировался например на сутки, желательно с оповещением администратора по почте (скинуть ему IP для дальнейших действий) ...

Да, и попутно решить бы вопрос соответствие имени администратора ID:1, по нему тоже пытаются подбирать-ломать и в Вордпрессе с Джумлой это тоже легко решаемо, а как быть с Sitebil'ом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

решить бы вопрос соответствие имени администратора ID:1

 

Это уже вроде бы не актуальная проблема. Конкретно по ид=1, насколько я помню, нет вообще обращений. Т.е. просто сносим пользователя с ид=1 и создаем своего в группе админов. Ну и данные, которые висят на старом было бы не плохо не забыть перенести.

 

Относительно имени администратора вида "admin". Тоже не критично. Администратор может теперь иметь любое имя-логин. Бывают некоторые глюки, если использовать не admin, а что-то другое, но, большинство известных мне мест мы уже поправили. А если какие и остались, то поправим.

 

В целом: для администратора сайта важно быть только в группе Администраторов.

 

Есть только одно НО. Для некоторых аякс-операций и функций сообщений, как-то подача заявки, если на сайте несколько админов, самым "настоящим" будет считаться тот, который был добавлен первым. Самый яркий пример - невозможность сменить закладку расположения элемента формы в Редакторе форм прямо со списка элементов модели (даблкликом). Но войдя в редактирование элемента это уже возможно. Так же и с посылкой сообщений. При двух админах, сообщение уйдет первому из них. В некоторых модулях, которые не шибко популярны, либо не обновлены, сообщения могут перестать приходить, именно из-за ориентировки на имя админка в виде "admin".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нам нечего стесняться, пишите сюда )

ну, а нам, тем более :))))

 

Родина может спать спокойно! Она уже не боится...  :)

я б не расслаблялся :)

не помню, но что-то понадобилось в PMA, залез и вижу картину (см.аттач)

Это так, к вопросу о личке и xss

 

 

post-1927-0-04369400-1402949803_thumb.pn

post-1927-0-31468200-1402949803_thumb.pn

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это автокомплит похоже. Завтра будет обновление.

 

ПС. И спасибо за ценную информацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это автокомплит похоже.

я с ним сейчас играюсь, работает как-то не так ...и в форме выдачи появились от юзеров дубли улиц, хотя при дефолтном городе не должны были появляться.

в uri и street_id и geoautocomplete, хотя зачем последнее не понял, имхо должно быть по принципу ||, а получается &&

(sorry, offtop)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в uri и street_id и geoautocomplete, хотя зачем последнее не понял, имхо должно быть по принципу ||, а получается &&

 

И не получается. Внутри идет проверка, если есть street_id, то текстовое значение с автокомплита откинется. А уходят оба потому, что что бы отключить одно заполненное, надо вешать событие с фильтрацией на submit или кнопку отправки. А элемент не должен так далеко смотреть. Поэтому и уходят оба.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поэтому и уходят оба.

и получаем в выдаче 0 строк, хотя по отдельности записи есть.

имхо проверить наличие факта street_id достаточно, при false тогда уж парсить geoautocomplete.

Хотя...может это уже мои тараканы, в базе теперь винегрет, надо копать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если речь о поиске, то текстовая составляющая вообще не принимается в расчет. Она учитывается только при добавлении формы. А модуль поиска ориентируется только на street_id. Т.е. если наавтокомплитил название, но совпадающего не нашлось, то введенная "абракадабра" не повлияет на поиск.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

о поиске спич....чтобы не оффтопить, потом выделюсь в отдельную ветку. сенкс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Похожие публикации

    • Автор: iFedia
      Добрый день! У меня стоит разделенный доступ для риелторов и админов. Администратор видит все объявления, а група  риелторов только свои. Когда добавляешь объявление через админа, то поиск работает коректно и можна искать по заданным параметрам. Если объявление публикуется через групу риелторов, поиск не выводит результаты.
      Подскажите куда копать? Спасибо за ответы 
    • Автор: Ramiz95
      Добрый день! Последние несколько дней приходят такие сообщения. Я так понимаю идет рассылка спама с нашей почты. 
      Это уже сделал, но не помогает
       


    • Автор: Chernetskiy
      Сегодня Wordfence (система безопасности сайтов на Wordpress) распространила информацию о проблемах безопасности у пользователей облачного сервиса Clousflare. Отмечается, что на протяжении последних 5 месяцев у пользователей сервиса происходили утечки персональных данных, куки, реквизитов доступа, ключей аутентификации и сведений сертификатов безопасности, в т.ч. с сайтов, работающих по защищенному протоколу и имеющих сертификаты безопасности. Утечки коснулись все сайты и их посетители, работающие через Cloudflare. Посетители сайтов могли видеть информацию других сайтов, адресованную другим пользователям, а так-же смешанные данные - ответы сервера со своими данными + чужими данными.
      Полный текст отчета здесь.
      Владельцам сайтов на Wordpress рекомендуется сменить соли (ключи безопасности) в файле wp-config.php.
      Относительно ситуации с CMS Sitebill, если у кого-то сайт работает через Cloudflare, наверняка могли утечь сведения файла /inc/db.inc.php, содержащего сведения доступа с базе SQL. Наверное не лишним будет перестраховаться и сменить пароль доступа к базе с внесением изменений в указанном файле. Ну и попутно, предложить пользователям сайта сменить свои пароли.
      Относительно сертификата безопасности сайта, можно заявить его как скомпрометированный и обновить сертификат.
      Рекомендуется так-же очистить куки, кэши, сессии и т.п. (CCleaner поможет)
      Утечки специалистами Cloudflare и Google отмечались еще на 18 февраля 2017 г.
       
    • Автор: Данил
      Добрый день!   В последнее время очень активно посылается спам. Пробовали поставить стандартную капчу - не помагает. Хотели попробовать «Kcaptcha», но картинка на странице подачи объявления не выводится. Как это можно исправить?


    • Автор: Дмитрий Кондин
      Сделали модуль защиты от спама, инструкция в этом видео