Частный seo специалист - кто это и чем занимается ★★★★★ «Находит ошибки, которые съедают ваш трафик!» Хотите, чтобы ваш сайт не просто висел в сети, а приводил клиентов? Читайте и применяйте!

Генерируем для файла htpasswd

Как защитить сервер от нагрузки

Оглавление

Как защитить сервер и снизить нагрузку на CPU.

Защита от подбора паролей с помощью файла .htaccess

Защита от перебора паролей для любых сайтов при помощи HTTP-авторизации

Плагины, защищающие админку вордпресс сайта и снижающие нагрузку на сервер.

 

Я выделила в отдельную категорию плагины для защиты сайтов на вордпресс. Почитайте описания плагинов для защиты от взломов и вирусов.

Плюс  у нас идет регулярный бекап базы данных. Благодаря ему, мы в особо сложных случаях сможем удалить полностью файлы зараженного сайта. Затем быстро залить свежий дистрибутив и рабочую базу данных.

Но есть еще одна важная проблема – это нагрузка на CPU сервера хостинга при массированных попытках взлома административной части. Про показатель CPU и снижение нагрузки с помощью скрипта maxcache кэш для сайтов на wordpress я писала с подробной статистикой и скринами.  

При достижении его максимального значения сервер ложится – что означает и сайты лежат. Если у вас на сервере несколько сайтов, а взламывают один из них, то страдают все. Они начинают жутко тормозить и могут стать недоступными даже на долгий период.

Нагрузка на CPU сервера возникает и при попытках взлома. И кеш здесь уже не поможет. Для этого есть специальные плагины. Т.к. любая DDOS атака (а это и перебор паролей) грузит сервер, то следует не допускать такие атаки вообще.

Как происходит подбор паролей? Одновременно с разных айпи идет попытка подобрать логин, пароль к админке.  Представляете, за секунду бесчисленное множество попыток входа? Что будет…  Или подберут, либо сервер не выдержит. Нерабочий сайт – это еще полбеды. Если взломщики добьются своего, то ваш сайт тоже станет рассадником – он станет участником взлома других сайтов. А что с ним сделают поисковики – страшно подумать – бан, черный список и доказывай, что было за недоразумение.

Для того, чтобы понять, что вас атакуют посмотрите в логах запрос «POST» — это и есть посыл ударов. Много «POST»в одно время  — будьте осторожны, ставьте защиту.

 

Обзор плагинов wordpress, которые защищают от подбора паролей.

Плагин Hack me if you can

Скачать на wordpress.org — https://wordpress.org/plugins/hack-me-if-you-can/

Язык русский и английский. Настройки простейшие.

Смысл идеи – взломщик попадет на страницу авторизации wp-admin или wp-login.php, но там не будет формы. А будет любая ваша запись для него, типа «Ну-ну! Взломай меня!».

А ссылку в вашу админ часть вы придумаете сами. И будет она известна только вам!

Установка очень простая. Залил, активировал, написал послание или оставил пустым. Тогда будет переадресация на 404 или главную страницы. Но здесь стоит подумать – слишком много заходов на 404…

 

Плагин WP Better Security

Скачать https://wordpress.org/plugins/better-wp-security/

Настройка: придумываете свой адрес для админки. Кроме этого, у плагина есть и другие возможности.

Он проведет анализ степени вашей защищенности.

У него есть мониторинг измененных файлов. Это удобно, вы будет первым узнавать, если было вторжение.

Но WP Better Security достаточно тяжелый и потребляет много ресурсов.

 

 

Плагин Simple Login Lockdown я уже упоминала.

Здесь можно настроить количество попыток ввода пароля. По умолчанию это 5 и после этого IP адрес хулигана блокируется. Также время блокировки IP адреса.

Но этот плагин не решит проблему повышения нагрузки на сервер.

 

Плагин Limit Login Attempts

Скачать https://wordpress.org/plugins/limit-login-attempts/

Он ограничит число попыток. Но, как понимаете, запросы идут с разных ip одновременно, поэтому атака состоится.

 

Защита от подбора паролей с помощью файла .htaccess

 

Для вордпресс вставьте в начале файла:

< files wp-login.php >

 order deny,allow

 deny from all

 allow from мой_айпи

 < /files >

Где вместо мой_айпи вставьте свой статичный IP. Если он динамичный, то нужно будет сначала подключаться к интернету, затем узнавать свой IP, затем переписывать его в  .htaccess. Иначе сами не попадете на сайт.

Для джумлы:

< files index.php >

 order deny,allow

 deny from all

 allow from мой_айпи

 < /files >

 

Защита от перебора паролей для любых сайтов при помощи HTTP-авторизации

 

Этот способ является наиболее эффективным и надежным в вопросе снижения нагрузки на CPU сервера хостинга. Мне хостер сразу прислал подробную инструкцию, как это делается.

Приведу здесь эти рекомендации, не у всех же есть такой отзывчивый хостер!

1. Создать файл .htpasswd в корне сайта.

2. Идем на сайт https://www.htaccesstools.com/htpasswd-generator/

Где будет сгенерировано содержимое файла .htpasswd

3. Вводим логин и пароль любые. Это не данные для входа на ваш сайт.

Генерируем для файла htpasswd

4. Жмем генерировать и вставляем все в наш пустой файл .htpasswd. Пароль там будет в зашифрованном виде.

5. Затем для WordPress в файл .htaccess в корне сайта добавить следующие строки:

<Files wp-login.php>

AuthName «Access Denied»
AuthType Basic
AuthUserFile полный_путь_до_корня_сайта/.htpasswd
require valid-user

</Files>

где «полный_путь_до_корня_сайта» — это абсолютный путь от корня файловой системы. Его можете узнать у хостера или проследить в своей панели самостоятельно.

6. Теперь при входе на сайт вам будет предлагаться окошко авторизации, куда нужно ввести ваши придуманные логин, пароль. И только после удачного входа в этом окошке, вы попадете на привычную страницу входа админки вордпресс и там введете свои данные для wp.

Кстати, так запаролировать можно и отдельные директории сайта.

 

А вот и результат не заставил долго ждать! На скрине виден резкий скачок CPU вниз после установки двойной аутентификации.

Нагрузка на cpu снизилась

Что доказывает на практическом примере эффективность http авторизации.

Используя сайт, вы соглашаетесь на обработку персональных данных, включая cookie и анализ поведения, согласно нашей политике. Сайт носит информационный характер и не является офертой (ст. 437 ГК РФ)  

Прокрутить вверх

Услуги и цены носят информационный характер, показывают среднее в сегменте ру. Регионально отличается.

1. Тариф — Минимальный Бюджет На Продвижение От 25 000 Рублей В Месяц

Такой выбор хорошо подходит начинающим свой бизнес в интернете, часто имеющим молодой сайт. Но имейте ввиду, что проект с возрастом, но которым не занимались — тоже является стратегически молодым. Развитие сайта при этом будет стабильное, поступательное, но очень медленное. Вы заложите крепкий фундамент на перспективу! Можете выбрать любой срок работы с этим бюджетом, рекомендуется первый год или два, также можно работать долгосрочно.

2. Для Малого Бизнеса На Seo Продвижение От 35 000 Рублей В Месяц

Этот выбор предполагает, что сайт уже начинал продвигаться и имеет некоторый вес в глазах поисковых систем. Развитие портала плавное уверенное. Рекомендуется со временем переходить с минимального варианта на большие вложения, если захотите более активно продвигаться.

3. Средний — От 60 000 Рублей Для Бизнеса

Также предполагает, что работы по раскрутке велись. Развитие проекта будет со средней скоростью.

4. Доминирующий Вариант От 150 000 Рублей В Месяц Для Лидеров В Своем Бизнесе — Это Оптимальный Вклад

Такая сумма позволяет получить активное развитие веб-сайта по всем направлениям поискового продвижения и контекстной рекламы. А также обеспечить формирование репутации.

5. Специальное Предложение

Любой вариант всегда обсуждается.