DevilStar

[GUIDE] Защита админки от брутфорса без изменения кода и плагинов

10 posts in this topic

Недавняя тема на pr-cy о брутфорсе админки навела меня на мысль, что можно сделать достаточно эффективную защиту, не изменяя код каких-либо файлов и не заморачиваться с настройкой сервера. 

 

С этой задачей прекрасно справляется тот же Cloudflare, о котором я уже писал в предыдущем гайде по защите от САР

 

Принцип работы cloudflare в отношении к админке прост – даже на бесплатном аккаунте можно создать до трёх правил для сайта, чем я и воспользовался. Я создал правило для *dev3l.ru/administrator/*, которое для всех попадающих под эту маску страниц включает режим «Меня атакуют». Как результат скрипты будут попадать на заглушку cloudflare и с большой вероятностью отваливаться.

 

Инструкция.

 

Регистрируемся на cloudflare, добавляем свой сайт в панель. Далее нужно сменить NS записи домена на предложенные. Делается это с помощью панели управления вашим доменом. Смена NS происходит в течении суток (обычно гораздо быстрее). Как только cloudflare увидит смену NS, будет показано следующее сообщение:

 

1.png

 

Теперь нужно создать правило для страниц админки. Я делаю на примере joomla, но по аналогии можно сделать абсолютно для любых админок. Админка joomla обычно открывается по адресу /administrator/. Переходим во вкладку Page Rules и создаем правило.

 

2.png

 

Здесь на самом деле нужно заполнить всего два поля, что бы правило уже начало работать. Заполняем URL pattern - /administrator/*

3.png

 

И включаем режим «Меня атакуют» для всех страниц, удовлетворяющих правилам. Security Level – I am under attack. Сохраняем.

 

4.png

 

Активное правило выглядит так:

5.png

 

Итог.

 

Cloudlflare в очередной раз элегантно решает еще одну проблему безопасности сайта, и всё это на бесплатном тарифе. Плюсом к этому идёт защита от простых DDoS атак, CDN для статики, кеширование и статистика. 

 

Всем спасибо кто прочитал до конца :)

 

roman48 and campusboy like this

Share this post


Link to post
Share on other sites

Я бы не сказал, что это проще, чем лезть в файлы сайта)) особенно если NS через клоуна идут... Это не айс)). Лично я (если надоедают), просто удаляю все акки админов и модераторов, пусть брутят сколько душе угодно)).

saskozp likes this

Share this post


Link to post
Share on other sites

В моем случае проще воспользоваться сервисом. У меня на работе и в дороге динамический IP, если я буду постоянно мудрить в htaccess, ни к чему хорошему это не приведёт ;) А так один раз настроил и забыл.

rafonets likes this

Share this post


Link to post
Share on other sites

В моем случае проще воспользоваться сервисом. У меня на работе и в дороге динамический IP, если я буду постоянно мудрить в htaccess, ни к чему хорошему это не приведёт ;) А так один раз настроил и забыл.

 

А как на счет способа htaccess и файла пароля для него? Проще некуда, нагрузки нет, на динамический IP плевать. Описывал этот метод еще давно у себя gladweb.ru/wordpress-vysokaya-nagruzka-na-xosting-2-xitrosti-dlya-zashhity-sajta-bez-plaginov/ это самая лучшая альтернатива.

 

Что касается Cloudlflare - я его не советую. Это мое мнение и мне не хочется его аргументировать, но в сети можно нарыть не мало доводов против него. 

kosmopolit and rafonets like this

Share this post


Link to post
Share on other sites

А как на счет способа htaccess и файла пароля для него?

 

Если ставить цель - защитить админку и ничего более, то наверное способ норм. Но в совокупности возможностей сервиса я всё остановил свой выбор на нём (плюс плагин joomla, который таки прячет админку вовсе).

Share this post


Link to post
Share on other sites

зачем так сложно?

К примеру для Wordpress я на одном сайте сделал рекапчу, на другом урл с ключом. В первом случае, после 5не правильных паролей, остальные запросы гуляют, во втором по адресу админки открывается статика с грозным предупреждением ))

rafonets likes this

Share this post


Link to post
Share on other sites

Cloudlflare -пользуюсь очень давно нормально, доволен. Одно время была яндекс метрика открыта и были подозрение что на моем сайте проводят опыты оптимизаторы, трафик накручивают. Там есть хорошая защита,один раз досили спасала. Одни + минусов не вижу, типа блокируют в России два года и ни разу не заблокирлвали

Share this post


Link to post
Share on other sites

Вопрос к автору темы. Если я к себе на сайт этот скрипт поставлю

<script type="text/javascript">if (top.location != self.location)top.location = self.location</script>

Что он мне может дать?

Share this post


Link to post
Share on other sites

зачем так сложно?

К примеру для Wordpress я на одном сайте сделал рекапчу, на другом урл с ключом. В первом случае, после 5не правильных паролей, остальные запросы гуляют, во втором по адресу админки открывается статика с грозным предупреждением ))

Это спасает от взломщика, то не спасает от нагрузки, который он создает. Даже если аккаунт блокируется после перебора пароля, страница с вводом пароля всё равно доступна. То есть при обращении к этой странице в любом случае грузиться ядро движка и остальные приблуды.

Share this post


Link to post
Share on other sites

Это спасает от взломщика, то не спасает от нагрузки, который он создает. Даже если аккаунт блокируется после перебора пароля, страница с вводом пароля всё равно доступна. То есть при обращении к этой странице в любом случае грузиться ядро движка и остальные приблуды.

откуда ж вы взяли такие выводы? не грузится Wordpress и все остальное, проверено, тем более что можно настройками сервера ограничить подбор, ну уж точно не оправдано подключение стороннего сервиса, который не бесплатен! лишние средства лучше потрачу на более мощный сервер.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.