Jump to content

Не могу зайти на блог из-за плагина better wp security


Recommended Posts

Не могу зайти на блог и в админку сайта wordpress из-за плагина better wp security, он заблокировал мой ip, хотя ip был добавлен в белый список, (видимо ip поменялся). Как теперь удалить ip из заблокированных? Что там менять в .htacces или где, кто знает?

Link to post
Share on other sites
  • VIP

mherter Если better wp security заблокировал вас по IP и вы не умеете работать с БД, то у вас только один выход - обратиться в техподдержку хостинга с просьбой о восстановлении доступа в админку сайта wordpress.

Link to post
Share on other sites

mherter Если better wp security заблокировал вас по IP и вы не умеете работать с БД, то у вас только один выход - обратиться в техподдержку хостинга с просьбой о восстановлении доступа в админку сайта wordpress.

 

В админку сайта я зайти могу, деактивировав плагин по ftp, но потом если активирую плагин, то меня опять заблокирует. Мне нужно как то удалить свой ip из бана. Если бы кто подсказал, что удалить в БД, была бы очень благодарна.

 

Сейчас изучаю таблицу wp_options...

Link to post
Share on other sites

Прочитайте пока эту статью, возможно, она поможет. А я пока у себя попробую ситуацию блокировки сэмулировать.

 

Спасибо. Плагин меня разблокировал))) Ура! На 15 минут оказывается только заблокировал, щас немного поменяю настройки добавлю свой ip в белый список, а то там другой ip стоит.

Link to post
Share on other sites
  • VIP

Спасибо. Плагин меня разблокировал))) Ура! На 15 минут оказывается только заблокировал, щас немного поменяю настройки добавлю свой ip в белый список, а то там другой ip стоит.

Хорошо, что настройки в этом пункте были по умолчанию  :) Мда, крутой плагин, столько наворотов в нем. Сижу разбираюсь Подкинули  "работёнку" на ночь  :lol: Сейчас буду себя блокировать на день, погляжу потом как выйти из такой ситуации. Но мне не понравилось, что после блокировки, весь сайт становится недоступен! Белая страница с текстом "error", со всех браузеров :) Надеюсь только по моему ip.

Link to post
Share on other sites

 Сейчас буду себя блокировать на день

 

Смотрите только не заблокируйте себя навсегда :D  А вообще, хороший плагин, сколько уже ботов он отсек от моего блога!

Link to post
Share on other sites

Если у вас динамический ip то так и будете мучаться каждый раз.

 

Добавила в белый список ip по маске - первые 4 цифры, они у меня всегда одинаковые, до этого были добавлены 6 цифр, две поменялись, из-за этого и забанило.

Link to post
Share on other sites
  • VIP

Смотрите только не заблокируйте себя навсегда :D  А вообще, хороший плагин, сколько уже ботов он отсек от моего блога!

Я ведь на тестовом, так что не жалко  :) Я вспомнил, как-то ставил этот плагин на один свой посещаемый сайт. И отказался от него уже через месяц, потому что начали брутом подбирать пароль и хостинг лег от нагрузки, потому что запросы шли с разных ip. И плагин работал как угорелый (сохранял данные, сравнивал, блокировал), это большая нагрузка на самом деле. Что я сделал? Убрал плагин. В htaccess прописал запрет на wp-login.php (сделал страницу отдельно для входа, другую), чтобы вебсервер своими силами отдавал ошибку, а не за счет моих мощностей, затем поставил в том же htaccess доступ по ip к админке. Этого вполне достаточно оказалось. До сих пор вижу атаки на wp-login.php и xmlrpc.php, то сервер выкручивает им всем фигульки. И нагрузки никакой нет! Прошу не закрывать тему, попробую себя заблочить а потом в базе найти данные, за это отвечающие. И отпишусь, попозже, ибо пошёл кушать яичко и пасочку!

Link to post
Share on other sites

Что бы не боятся что вам взломают конту админа или подберу пароль, ставьте этот плагин: Google Authenticator. Все остальные секюрити приложения в топку, только движок перезагружают. Чем больше у вас приложений, тем легче вас можно хакнуть, так что меньше лучшее:Р 

Link to post
Share on other sites
  • VIP

В общем, как в той статье по сути получилось (другого варианта не дано, удаление плагина не считается). Заходим в базу данных, ищем в списке таблицу wp_itsec_lockouts, в ней список когда-либо заблокированных пользователей. В ней содержится информация какого вида была атака (lockout_type), к примеру, брут форс (подбор пароля), когда началась (lockout_start) и когда должна быть снята (lockout_expire) блокировка, какой Ip забанен (lockout_host), какой юзер и с каким ником был забанен (у меня оказались пустыми), и последнее - статус блокировки (lockout_active), где 1 - заблокирован, 0 - разблокирован. В моём случае достаточно было 1 поменять на 0 и сайт стал открываться. Конечно, можно было просто удалить строку и всё, но для истории всё-таки оставил  ;)

Link to post
Share on other sites

Зачем себе настолько осложнять все? Поставьте Hide My WP v4.03 и закройте через него все. Смените папки админки, смените правила на вход в админку,  переименуйте все папки, названия плагинов, название темы. Код при просмотре покажет такое, что никто не захочет в этом разбираться и искать пути пробива.  При любой попытке несанкционированного входа в админку идет оповещение на почту со всеми данными ломальщика. Вот после этого его и блочьте по IP. Не надо мудрить.Там куча настроек. А, если что-то забудете, то просто потрете пару строк в хтацесс и все блокировки снимутся. не надо ковырять базы, ибо он не вносит никаких изменений в сами файлы, в базу. лучшее решение вашей проблемы. А для любителей экспериментов -- вообще милое занятие. Вот бы кто его до конца погонял. Времени все нет.

Link to post
Share on other sites
  • VIP

Спасибо. Плагин меня разблокировал))) Ура! На 15 минут оказывается только заблокировал, щас немного поменяю настройки добавлю свой ip в белый список, а то там другой ip стоит.

 

Если говорить проще обо всем:

 

1) Добавляйте в белый список не свой IP, а всю свою подсеть (например, 123.123.*.*)

 

2) Да, обычно блокировка производится на определенный срок. У меня стоит 3 часа. Поэтому не стоит переживать - нужно просто подождать, если ЧО.  ;)

 

3) Если что произойдет - никто не мешает вам по фтп удалить плагин, полностью удалить, а потом залить такой же. Это если не хотите ковыряться в БД и т.п.

Link to post
Share on other sites
  • VIP

Закройте авторизацию по wp-login через htaccess

 

# protect wp-login.php
<Files wp-login.php>
Order Deny,Allow
Deny from all
</Files>

 

переименуйте файл wp-login.php в figvam.php (или другой)

в нем замените (редактором) все "wp-login.php" на "figvam.php", залейте его

в корневую папку и логинтесь по новому названию.

 

site.ru/figvam.php

 

Никаких других защит входа не понадобится, в том числе и ограничений по ip.

Link to post
Share on other sites

Закройте авторизацию по wp-login через htaccess

 

# protect wp-login.php

<Files wp-login.php>

Order Deny,Allow

Deny from all

</Files>

 

переименуйте файл wp-login.php в figvam.php (или другой)

в нем замените (редактором) все "wp-login.php" на "figvam.php", залейте его

в корневую папку и логинтесь по новому названию.

 

site.ru/figvam.php

 

Никаких других защит входа не понадобится, в том числе и ограничений по ip.

Вот это все без лишних телодвижений и траты времени делает плаг, который я указывал выше.

Link to post
Share on other sites
  • Модератор

ТС, насколько он хороший плагин, если родного администратора забанил?

А теперь подсчитайте, сколько хороших людей не могут попасть на ваш сайт вместе с ботами.

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...