Jump to content
DevilStar

[GUIDE] Защита админки от брутфорса без изменения кода и плагинов

Recommended Posts

Недавняя тема на pr-cy о брутфорсе админки навела меня на мысль, что можно сделать достаточно эффективную защиту, не изменяя код каких-либо файлов и не заморачиваться с настройкой сервера. 

 

С этой задачей прекрасно справляется тот же Cloudflare, о котором я уже писал в предыдущем гайде по защите от САР

 

Принцип работы cloudflare в отношении к админке прост – даже на бесплатном аккаунте можно создать до трёх правил для сайта, чем я и воспользовался. Я создал правило для *dev3l.ru/administrator/*, которое для всех попадающих под эту маску страниц включает режим «Меня атакуют». Как результат скрипты будут попадать на заглушку cloudflare и с большой вероятностью отваливаться.

 

Инструкция.

 

Регистрируемся на cloudflare, добавляем свой сайт в панель. Далее нужно сменить NS записи домена на предложенные. Делается это с помощью панели управления вашим доменом. Смена NS происходит в течении суток (обычно гораздо быстрее). Как только cloudflare увидит смену NS, будет показано следующее сообщение:

 

1.png

 

Теперь нужно создать правило для страниц админки. Я делаю на примере joomla, но по аналогии можно сделать абсолютно для любых админок. Админка joomla обычно открывается по адресу /administrator/. Переходим во вкладку Page Rules и создаем правило.

 

2.png

 

Здесь на самом деле нужно заполнить всего два поля, что бы правило уже начало работать. Заполняем URL pattern - /administrator/*

3.png

 

И включаем режим «Меня атакуют» для всех страниц, удовлетворяющих правилам. Security Level – I am under attack. Сохраняем.

 

4.png

 

Активное правило выглядит так:

5.png

 

Итог.

 

Cloudlflare в очередной раз элегантно решает еще одну проблему безопасности сайта, и всё это на бесплатном тарифе. Плюсом к этому идёт защита от простых DDoS атак, CDN для статики, кеширование и статистика. 

 

Всем спасибо кто прочитал до конца :)

 

Share this post


Link to post
Share on other sites

Я бы не сказал, что это проще, чем лезть в файлы сайта)) особенно если NS через клоуна идут... Это не айс)). Лично я (если надоедают), просто удаляю все акки админов и модераторов, пусть брутят сколько душе угодно)).

Share this post


Link to post
Share on other sites

В моем случае проще воспользоваться сервисом. У меня на работе и в дороге динамический IP, если я буду постоянно мудрить в htaccess, ни к чему хорошему это не приведёт ;) А так один раз настроил и забыл.

Share this post


Link to post
Share on other sites

В моем случае проще воспользоваться сервисом. У меня на работе и в дороге динамический IP, если я буду постоянно мудрить в htaccess, ни к чему хорошему это не приведёт ;) А так один раз настроил и забыл.

 

А как на счет способа htaccess и файла пароля для него? Проще некуда, нагрузки нет, на динамический IP плевать. Описывал этот метод еще давно у себя gladweb.ru/wordpress-vysokaya-nagruzka-na-xosting-2-xitrosti-dlya-zashhity-sajta-bez-plaginov/ это самая лучшая альтернатива.

 

Что касается Cloudlflare - я его не советую. Это мое мнение и мне не хочется его аргументировать, но в сети можно нарыть не мало доводов против него. 

Share this post


Link to post
Share on other sites

А как на счет способа htaccess и файла пароля для него?

 

Если ставить цель - защитить админку и ничего более, то наверное способ норм. Но в совокупности возможностей сервиса я всё остановил свой выбор на нём (плюс плагин joomla, который таки прячет админку вовсе).

Share this post


Link to post
Share on other sites

зачем так сложно?

К примеру для Wordpress я на одном сайте сделал рекапчу, на другом урл с ключом. В первом случае, после 5не правильных паролей, остальные запросы гуляют, во втором по адресу админки открывается статика с грозным предупреждением ))

Share this post


Link to post
Share on other sites

Cloudlflare -пользуюсь очень давно нормально, доволен. Одно время была яндекс метрика открыта и были подозрение что на моем сайте проводят опыты оптимизаторы, трафик накручивают. Там есть хорошая защита,один раз досили спасала. Одни + минусов не вижу, типа блокируют в России два года и ни разу не заблокирлвали

Share this post


Link to post
Share on other sites

Вопрос к автору темы. Если я к себе на сайт этот скрипт поставлю

<script type="text/javascript">if (top.location != self.location)top.location = self.location</script>

Что он мне может дать?

Share this post


Link to post
Share on other sites

зачем так сложно?

К примеру для Wordpress я на одном сайте сделал рекапчу, на другом урл с ключом. В первом случае, после 5не правильных паролей, остальные запросы гуляют, во втором по адресу админки открывается статика с грозным предупреждением ))

Это спасает от взломщика, то не спасает от нагрузки, который он создает. Даже если аккаунт блокируется после перебора пароля, страница с вводом пароля всё равно доступна. То есть при обращении к этой странице в любом случае грузиться ядро движка и остальные приблуды.

Share this post


Link to post
Share on other sites

Это спасает от взломщика, то не спасает от нагрузки, который он создает. Даже если аккаунт блокируется после перебора пароля, страница с вводом пароля всё равно доступна. То есть при обращении к этой странице в любом случае грузиться ядро движка и остальные приблуды.

откуда ж вы взяли такие выводы? не грузится Wordpress и все остальное, проверено, тем более что можно настройками сервера ограничить подбор, ну уж точно не оправдано подключение стороннего сервиса, который не бесплатен! лишние средства лучше потрачу на более мощный сервер.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...