[Гендальф Серый]

Господа, сегодня от моего любимого хостера мне пришло письмо. Обезопасьте и вы себя.

В течение двух дней мы получили огромное число запросов, связанных с падением серверов, на которых были сайты, основанные на CMS WordPress и Joomla. Как выяснилось, данные падения связаны с перебором паролей на админ-панель сайта. Перебор паролей носит характер DDoSа, т.к. осуществляется многопоточно и с разных IP адресов.

В связи с этим, для безопасности и стабилизации работы сервера, как один из самых простых и эффективных вариантов, нужно установить http авторизацию на админ-панель Вашего сайта, следуя простой инструкции:



1) создать файл с названием ".htpasswd" в корне сайта и при помощи сайта http://www.htaccesstools.com/htpasswd-generator/ сгенерировать его содержание, указав желаемый логин и пароль.

2) для Joomla в файл ".htaccess" в папке /administrator/ добавить следующие строки:

AuthName "Access Denied"
AuthType Basic
AuthUserFile полный_путь_до_корня_сайта/.htpasswd
require valid-user

для WordPress в файл ".htaccess" в корне сайта добавить следующие строки:

<Files wp_login.php>
AuthName "Access Denied"
AuthType Basic
AuthUserFile полный_путь_до_корня_сайта/.htpasswd
require valid-user
</Files>

где "полный_путь_до_корня_сай� �а" - это абсолютный путь от корня файловой системы.

например, для ISPManager он будет выглядеть так: /var/www/имя_пользователя/data/www/адрес_сайта/.htpasswd

3) проверить работу данной конструкции, попробовав зайти в админ-панель сайта.



Мы настоятельно рекомендуем Вам принять необходимые меры.

100% вам аптайма и порядочных юзеров, дорогие вебмастера.

[Adiofilms]

Полезная информация для многих форумчан. Может стоит добавить эту тему в следующую рассылку?

[itSlam]

Помимо самой админки поставьте пароль на саму папку с вашей админкой через панель управления, получится двойная верификация.

[k0missar]

Я вот как то по этому поводу написал статью, http://dyzzi.ru/zashhita-sajta-ot-vzloma-i-bruta.html , на основе WP но принцип одинаков для всех.

[wolf28]

Гендальф Серый, нагрузка на cpu хостинга все равно останется большой или нет при бруте, даже если поставить доп-но пароль на папку админа?

[iavtomoto]

мне тоже хостер написал письмо, правда они заблокировали доступ в админку вп и джумла на уровне сети. Оставили возможность конекта только по https.

[TimHam]

А я пользуюсь Плагином jSecure Authentication (что можете по нему сказать?), но попробую и Ваш метод. Спасибо.

[3s777]

jSecure Authentication

тоже пользуюсь этим плагином, по моему достойная вещь, особенно последние версии

[egor63rus]

Тоже не могу теперь зайти, как будет выглядеть абс путь из в c-panel

[seofan]

объясните тупому зачем этот файл .htpasswd, какие пароли в нём указывать(от админки) и как он поможет в защите сайта