Июль 2015 — Розробка та продаж програмного забезпечення в Києві та Україні К2®

Автор: Рудюк С . А.
http://corp2.net
E-Mail: rs@corp2.net

При создарнии пользователя MantisBT приходит письмо с паролем пользователя по электронной почте. Но, бывает, что письмо попадает в спам или не доходит, бывает почта вообще не работает. При этом, администратор системы не имеет возможность проверить, что письмо не дошло и в систему не удается войти. Это вызывает массу проблем при первичном создании пользователя в системе баг-репорта MantisBT. Хочется иметь возможность указывать пароль вручную.

Для того, чтоб была возможность создавать пользователя вручну, необходимо будет внести ряд изменений в программны код системы MantisBT.

1. Найдите файл manage_user_edit_page.php.
2. В нем найдите строчку: <!-- Email -->
3. Вставьте перед ней такой скрипт:

<!-- Password --> <tr <?php echo helper_alternate_class( 1 ) ?>> <td class="category" width="30%"> <?php echo "Password (change only)" ?>: </td> <td width="70%"> <input type="text" size="16" maxlength="100" name="password" value="" /> </td> </tr>

Этот код будет изменять пароль в том случае, если он был изменен в поле задания пароля.

4. Теперь, найдите файл manage_user_update.php.
5. После строчки с переменной $f_user_id втавьте скрипт:

$f_pass = gpc_get_string('password');

6. Прокрутите текст и найдите строчку, где написано: $result = db_query( $query );
7. Вставьте перед данной строчкой скрипт:

//Reset the password if specified. if ($f_pass) user_set_password($f_user_id, $f_pass);

Автор: Рудюк С . А. http://corp2.net

После установки TeamViewer и первого подключения к сети, программа получает уникальный идентификационный номер (ID), благодаря которому вы можете осуществлять подключение к вашему компьютеру. Если, вы используете бесплатную версию в коммерческих целях, есть большая вероятность, что со временем, вам ограничат время удаленного соединения, до значения не превышающее пяти минут, после чего соединение будет оборвано. В этом случае единственным способом разблокировать ограничение является смена ID.

ID привязывается и формируется по двум значением на вашем компьютере, это MAC адрес сетевой карты и VolumeID раздела жесткого диска. Соответственно для того чтобы сменить ID в TeamViewer, нужно изменить эти два значения.

В начале мы опишем как сменить MAC адрес. Есть два способа: простой и сложный.

Простой способ смены MAC адреса - это при использовании специально предназначенной для этого утилиты, например: MACChange.

Тут все просто, находим в списке сетевую карту с помощью которой осуществляется подключение, после чего нажимаем кнопку генерации нового MAC и жмем "Change".

Вторым и более сложным способом, является смена MAC адреса с помощью редактирования нужного ключа в реестре. Для этого откроем редактор реестра, выполнив команду: regedit.

В редакторе реестра переходим по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4d36e972-e325-11ce-bfc1-08002be10318}.

Тут, каждый сетевой компонент обозначен четырьмя цифрами начиная с 0000, 0001 и так далее. Нужный мы можем найти просматривая его параметр DriverDesc, где мы и можем найти название своей сетевой карты, например: TP-LINK Wireless USB Adapter.

После того как нужная сетевая карта найдена, добавляем или изменяем ключ: NetworkAddress, который и является MAC адресом. Тип данных для этого ключа необходимо установить REG_SZ.

Итак, MAC адрес сетевой карты изменен, теперь нужно изменить VolumeID системного раздела жесткого диска (заметим, что в некоторых случаях TeamViewer привязывается к другим разделам диска или даже к присоединенным съемным носителям, поэтому есть вероятность, что придется менять VolumeID других разделов).

Для смены VilumeID, скачиваем программу VolumeID v2.0 и запускаем от имени Администратора.

Тут выбираем нужный нам раздел, вводим новый серийный номер (New serial number) и жмем кнопку "Change serial number".

После всех выполненных операций нужно перезагрузить компьютер. Запустив TeamViewer вам будет присвоен новый ID.

AHera 14.01.2015 3707

Источник: http://winupdate.ru/question/kak-smenit-id-v-teamviewer/

Автор: Рудюк С . А.
http://corp2.net
E-Mail: rs@corp2.net

После обновления Linux Ubuntu на последнюю версию - 15.04 одна из виртуальных машин c Windows 8 стала выдавать такую ошибку.

После поисков в Гугл, нашел способ лечения. Под административными правами запускаете команду:

VBoxManage setextradata [vmname] VBoxInternal/CPUM/CMPXCHG16B 1

Где vmname - регистрационное название виртуальной машины в Virtualbox.

После этого, необходимо запустить Виртуалбокс из админа:

virtualbox &

В результате, Виндовс должен загружаться без проблем.

P.S. Так же, следует обратить внимание, что после обновления операционной системы пришлось перекомпиливать драйвера Virtualbox. Благо, делается это очень просто:

/etc/init.d/vboxdrv setup

Автор: Рудюк С . А. http://corp2.net

Иногда очень хочется распечатать штрих-код. Когда это желание становится невыносимым, люди покупают специальные принтеры, инсталлируют не менее специальный софт и наводняютвеб-конференции вопросами “где найти внешнюю компоненту, печатающую штрих-коды?”

На самом деле, это крайний случай, а крайние случаи пагубны. Конечно, если штрих-код нужно печатать на само-клеющихся этикетках размером в четверть кусочка туалетной бумаги, без специального оборудования ничего не выйдет. Но в случае, если печатать нужно на обычной офисной бумаге, можно прекрасно обойтись без капиталовложений.

Почему-то многие считают, что для печати штрих-кодов из 1С нужны некие компоненты (внешние, ActiveX, еще какие-нибудь). Так вот, это неправда. Никаких компонент не нужно. Для воспроизведения на бумаге штрих-кода понадобятся три вещи:

• нужно знать, какой именно из штрих-кодов (а их немеряно) нам требуется.
• нужно знать алгоритм формирования этого кода.
• и нужно иметь Windows-совместимый шрифт, изображающий данный штрих-код. Для EAN13 вполне подойдет шрифт EanBwrP36Tt, а для CODE39 - C39HrP36DlTt.

Что касается первого пункта, то весьма распространенными (и поддерживаемыми всеми без исключения сканерами) являются коды EAN13 и CODE39. А что касается второго и третьего, то это лежит внизу страницы.

После нехитрой адаптации можно будет печатать штрих-коды на ценниках, пропусках, визитках и карикатурах на шефа. Но самое главное — любой документ можно будет снабдить уникальным идентификатором. Зачем тратить на это драгоценный принтерный картридж? А вот об этом — как -нибудь в другой раз ;-)

Алгоритмы генерации штрих-кодов в формате *.ert

Шрифты для печати штрих-кодов

В этой статье хочу рассказать о клиенте удаленного рабочего стола Remmina.

Коротко о программе Remmina.

Remmina - клиент для удаленного доступа. Использует FreeRDP в качестве RDP клиента. Кроме RDP поддерживает протоколы: SFTP, SSH, NX, VNC, VNCI и XDMCP. Поддержка протоколов расширяется плагинами.

Данный клиент установлен по умолчанию во всех дистрибутивах Ubuntu и производных от неё.

Во всех текущих версиях Ubuntu на данный момент используется версия 0.99, которая была выпущена в 2010 году:

Многие, подключившись с помощью Remmina по rdp к windows, ловят различные баги.
Какие же проблемы с этой старой версией встречаются?
Из моих проблем:
- Вырвиглазный рендеринг шрифтов. Шрифты выглядят просто ужасно. Никакие настройки не помогают.
- Очень неприятный баг с курсором мышки. Он не меняется, используется стандартный Ubuntu. То есть выделяя текст, или растягивая окно, вы не увидите изменений курсора.
- Не работал двухсторонний буфер обмена.
- Не работало назначение общей папки.Еще встречаются проблемы с тем, что не все символы клавиатуры работают правильно.К чему я это описал?
Очень мало информации об этом клиенте, следовательно многие могли подключиться, увидеть эти проблемы, почитав местные форумы, разочароваться в этом клиенте и перестать им пользоваться.
Поэтому хочу поделиться информацией, что эти баги устранены, но в новой - последней версии.

Нет смысла искать какие-то конфигурации по форумам или команды в терминале для решения этих проблем. Все эти ошибки - это баги самого клиента, которые были устранены в последней версии программы. Следовательно, нужно просто обновить наш клиент и плагин RDP.

Установка последней версии Remmina в Ubuntu.

Для Ubuntu есть репозиторий на ланчпад, где добавляются последние версии remmina и rdp плагина. В репозитории есть пакеты только для версий 14.04 - 15.04.

Чтобы установить последнюю версию Remmina в Ubuntu откройте терминал и выполните следующие команды:

sudo apt-add-repository ppa:remmina-ppa-team/remmina-next sudo apt-get update sudo apt-get install remmina remmina-plugin-rdp

Для Ubuntu 12.04 попробуйте такой фокус:
Как установить программу из репозитория, в котором нет пакетов для вашей версии дистрибутива Ubuntu

Всё. Теперь последняя версия Remina установлена.

Если нужно удалить программу, то выполните следующие команды:

sudo apt-add-repository -r ppa:remmina-ppa-team/remmina-next sudo apt-get update sudo apt-get remove remmina remmina-plugin-rdp

Настройка RDP подключения к Windows 8.

Давайте подключимся по RDP к Windows 8.

Настройка на Windows 8.

Заходим в "Система" - "Настройка удаленного доступа", на вкладке "Удаленный доступ" разрешаем удаленный подключения к этому компьютеру.

Не забудьте задать текущему пользователю пароль, или создайте другого пользователя для удаленного подключения. Тогда вам надо будет еще и "Выбрать пользователей" нажать и там выбрать созданного пользователя.

Вот и всё. Теперь нужно лишь узнать ip компьютера в локальной сети:

Настройка на windows 8 на этом закончилась.

Настройка подключения к windows 8 на Ubuntu.

Открываем Remmina, создаем новое подключение.
Заполняем Название (удобное Вам).
В поле Сервер вписываем ip компьютера c Windows 8. Также вписываем имя пользователя и пароль. Всё. Сохраняем и подключаемся.

Кроме того можно отредактировать еще качество картинки, я обычно "Хорошее" выбираю:

Вы всегда можете отредактировать данные параметры, просто нажав на соединении правой кнопкой мыши и выбрав "правка".

Кроме того, в настройка Remmina (CTR-P) можно качество отрегулировать:

При первом подключении не забудьте согласиться на получение сертификата:

Вот и всё, подключаемся.

Вот так выглядит картинка.
Нормальные шрифты и курсор меняется, нет зависания картинки при старте подключения. Работает всё шустро, нет задержек.
Можно вполне себе работать, использую компьютер с windows как тонкий клиент:

И мой сайт хорошо выглядит:

И еще один момент, чтобы нормально срабатывали комбинации клавиш, такие как смена раскладки или alt-f4, нужно, чтобы была зажата данная опция в меню:

Вот и всё.

Плагины к Remmina.

По умолчанию в Remmina доступно мало протоколов удаленного доступа:

VNC плагин не ставьте, он работать не будет.
Из рабочих плагинов можно поставить для протоколов NX и XDMCP:

sudo apt-get install remmina-plugin-nx remmina-plugin-xdmcp

Перезапустить Remmina и в окне нового подключения станут доступны новые протоколы:

XDMCP не использовал, поэтому ничего сказать не могу, но по сообщения, работает ужасно.

Источник: http://www.linuxrussia.com/2015/06/remmina-ubuntu-rdp-windows-8.html

На сегодняшний день Wordpress как никогда популярен. Блоги, мини-сайты, а то и целые порталы — всё это строится на основе такого удобного движка-конструктора как Wordpress. Но за удобностью и лёгкостью освоения кроются, прежде всего, вопросы, связанные с безопасностью вашего сайта. Большая распространённость — большее внимание злоумышленников.

В этой статье описаны десять простых уловок, которые позволят сделать ваш сайт на Wordpress’e ещё более защищённым и позволят спокойнее спать по ночам.

1. Защищаем Wordpress от XSS-инъекций

В чём проблема?
Программисты всегда стараются защитить GET- и POST- запросы, однако, иногда этого недостаточно. Необходимо защитить блог от XSS-инъекций и попыток модификации переменных GLOBALS и _REQUEST.

Что делаем?
Этот код блокирует использование XSS-инъекций и попытки модифицировать переменные GLOBALS и _REQUEST. Вставьте код в ваш файл .htaccess, расположенный в корне сайта. (И не забывайте бэкапить этот файл перед внесением любых изменений).

Options +FollowSymLinks RewriteEngine On RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) RewriteRule ^(.*)$ index.php [F,L]

Как это работает?
Код позволяет проверять все запросы. Если запрос содержит тег или попытку модифицировать значение переменных GLOBALS и _REQUEST, он просто блокирует его и выдаёт пользователю 403-ю ошибку.

2. Убираем показ лишней информации


В чём проблема?
Если при попытке зайти в админку Wordpress’a вы ошибётесь с логином или паролем, вежливый движок скажет вам об этом. Ну а зачем злоумышленнику знать, что пароль, который он пытается подобрать – неверен? Давайте просто уберём вывод этой информации и чуток запутаем его.

Что делаем?
Открываем functions.php, лежащий в папке с активной темой нашего блога (wp-content/themes/название-вашей-темы/) и добавляем следующий код:

add_filter('login_errors',create_function('$a', "return null;"));

сохраняем файл. Вуаля – больше никаких сообщений.

Как это работает?
С помощью этого хука мы переписываем стандартную функцию login_errors(). В результате этого, в случае, когда введены неправильный логин или пароль, никакой информации, объясняющей ситуацию не появится — то, что нам нужно.

3. Принудительное использование SSL


В чём проблема?
Если вы хотите, чтобы передаваемая вами информация была защищена, вам необходимо использовать SSL—протокол, обеспечивающий целостность и конфиденциальность обмена данными. В Wordpress’e это сделать проще простого.

Что делаем?
Прежде всего узнаём, есть ли возможность у вашего провайдера использовать SSL. Если да, то открываем файл wp-config.php (обитающий в корне сайта) и добавляем следующую строку:

define('FORCE_SSL_ADMIN', true);

Как это работает?
Всё просто. Wordpress использует множество констант и FORCE_SSL_ADMIN всего лишь одна из них. Эта константа включает принудительное использование SSL при заходе в панель администратора.

4. Используем .htaccess для защиты файла wp-config


В чём проблема?
wp-config.php содержит все данные, необходимые для подключения к серверу MySQL и базе данных. Защита этого файла – одна из самых главных задач.

Что делаем?
Находим файл .htaccess в корне нашего сайта и добавляем следующие строки:

<files wp-config.php> order allow,deny deny from all </files>

Как это работает?
Мы просто запрещаем доступ к этому файлу кому бы то ни было. Теперь уж точно ни один бот не сможет и близко подойти к этому файлу.

5. Скрываем версию Wordpress'a


В чём проблема?
Wordpress автоматически вставляет номер своей версии в исходный код страниц. К сожалению, не всегда удаётся вовремя обновлять движок. А это означает, что зная какая у вас версия Wordpress’a со всеми её брешами и слабыми местами, злоумышленник может очень-очень огорчить вас. Что делаем? Правильно, убираем вывод версии.

Что делаем?
Снова открываем functions.php, лежащий в папке с активной темой нашего блога (wp-content/themes/название-вашей-темы/) и добавляем туда этот код -

remove_action('wp_head', 'wp_generator');

Как это работает?
Хуки Wordpress'a позволяют легко заменять одну функцию на другую. Именно этим мы сейчас и воспользовались – мы просто запретили вывод информации о версии нашего движка.

+ как справедливо указал пользователь rOOse, необходимо также удалить файл readme.html, находящийся в корне сайта. В нём тоже содержится информация о текущей версии Wordpress'a.

6. Баним спамеров и ботов

В чём проблема?
Надоедливые постеры и спамеры. Решение – запретить им доступ к сайту по IP. Конечно, это не защитит от спам-скриптов, постоянно меняющих прокси, но немного облегчить жизнь вполне может.

Что делаем?
Вставьте этот код в файл .htaccess. Просто поменяйте адрес 123.456.789 на IP того редиски нехорошего человека, который вас достаёт и всё — он забанен всерьёз и надолго.

<Limit GET POST PUT> order allow,deny allow from all deny from 123.456.789 </LIMIT>

Как это работает?
И снова нам на помощь приходит apache. Посредством файла .htaccess мы запрещаем доступ к сайтe пользователям с конкретным IP. Нужно забанить ещё кого-то? Просто добавим ещё одну строку, к примеру -

deny from 93.121.788

7. Пишем плагин для защиты от зловредных url-запросов

В чём проблема?
Хакеры и недохакеры всех родов очень часто пытаются найти слабые места при помощи всевозможных зловредных запросов. Wordpress неплохо защищён от этого, но лишняя защита никогда не повредит.

Что делаем?
Создаём новый файл под названием blockbadqueries.php и помещаем его в папку wp-content/plugins. Затем просто активируйте его в админке как любой другой плагин.

<?php /* Plugin Name: Block Bad Queries Plugin URI: perishablepress.com/press/2009/12/22/protect-wordpress-against-malicious-url-requests/ Description: Protect WordPress Against Malicious URL Requests Author URI: perishablepress.com/ Author: Perishable Press Version: 1.0 */ global $user_ID; if($user_ID) { if(!current_user_can('level_10')) { if (strlen($_SERVER['REQUEST_URI']) > 255 || strpos($_SERVER['REQUEST_URI'], "eval(") || strpos($_SERVER['REQUEST_URI'], "CONCAT") || strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") || strpos($_SERVER['REQUEST_URI'], "base64")) { @header("HTTP/1.1 414 Request-URI Too Long"); @header("Status: 414 Request-URI Too Long"); @header("Connection: Close"); @exit; } } } ?>

Как это работает?
Работа этого плагина проста – он проверяет все длинные запросы (более 255 символов) и наличие php-функций eval или base64 в URI. Если что-то из этого находится, браузеру пользователя отдаётся страница с ошибкой 414.

8. Личеры!


В чём проблема?
Мир полон добрых людей, которые изо всех сил пытаются донести до других новость или статью, написанную вами. Всё бы ничего, но ведь по доброте душевной они берут картинки прямо с наших с вами серверов, скромно забывая при этом про слово «трафик». А теперь представьте что будет, если ссылки на наши картинки попадут на какой-нибудь популярный китайский блог, с их-то почти уже четырёхсотмиллионным интернет-населением! Свят-свят-свят… Значит сейчас будем защищать хотлинкинг, a.k.a. личинг, a.k.a. «да я просто вставил ссылки на файлы с вашего сервера».

Что делаем?
И опять всемогущий apache поможет защищить нам наш трафик. Достаём в очередной раз файлик .htaccess и пишем следующее:

RewriteEngine On #Замените ?mysite\.ru/ на адрес вашего сайта RewriteCond %{HTTP_REFERER} !^http://(.+\.)?mysite\.ru/ [NC] RewriteCond %{HTTP_REFERER} !^$ #Замените /images/nohotlink.jpg на название вашей картинки с лозунгом «личер идёт на…» RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]

Как это работает?
При помощи этих правил мы заставляем сервер проверять откуда пришёл запрос на нашу фотку — если со страниц нашего сайта, он отдаёт её пользователю. Если с «вражеского» — то показывает личерам какую-нибудь обидную картинку.

9. Убить админа. (Нет дефолтному юзернейму «admin»)!

В чём проблема?
Злоумышленникам всегда проще получить доступ к сайту при помощи брута, если уже известен логин. При этом на протяжении многих лет дефолтный логин админа был примитивным до зубного скрежета — «admin».

Надо сказать, что в новом Wordpress 3.0 у вас есть право указать любой логин, какой только душе будет угодно. Для остальных версий нужно применить одно волшебное заклинание.

Что делаем?
Просто выполняем этот запрос к базе данных:

UPDATE wp_users SET user_login = 'Ваш новый логин' WHERE user_login = 'Admin';

Как это работает?
С помощью sql-запроса меняем дефолтный логин. Правда, есть одно «но». Посты, написанные ранее admin'ом не поменяют своего автора. А для того чтобы извести admin'a на корню, необходимо выполнить ещё один запрос:

UPDATE wp_posts SET post_author = 'Ваш новый логин' WHERE post_author = 'admin';

10. Защита директорий на сервере от просмотра


В чём проблема?
Очень многие хостеры позволяют просматривать директории на своих серверах. Поэтому, если ввести в адресную строку www.вашблог.ru/wp-includes, то очень часто можно увидеть всё содержимое этой директории. Безусловно это небезопасно, поэтому лучше это сразу запретить.

Что делаем?
Вы можете либо добавить пустые файлы index.html в папки, просмотр которых хотели бы запретить. Либо дополнить наш .htaccess ещё одной строкой:

Options All -Indexes

Как это работает?
Пустой index.html будет выдаваться каждый раз, когда последует запрос к директории. Ну а директива в .htaccess просто запрещает апачу выдавать список содержимого директории.

Источник: http://habrahabr.ru/post/98083/

Автор: Рудюк С . А.
http://corp2.net
E-Mail: rs@corp2.net

В файле wp-config.php CMS Wordpress хранит пароли и логины для доступа к базе данных. Это очень безопасная информация. Есть вероятность, что в момент отладки приложения или веб-сервера данный файл может быть доступен злоумышленникам, поэтому, рекомендуется защищать данный файл от доступа в веб-серверах.

Защита в веб-сервере Apache указывается в файле .htaccess:

# Deny public access to wp-config.php <Files wp-config.php> Order allow,deny Deny from all </Files>

Защита в веб-сервере Nginx:

# Deny public access to wp-config.php location ~* wp-config.php { deny all; }

Автор: Рудюк С . А. http://corp2.net

По статистике, около 19% от общего количества всех сайтов Интернета, работают на WordPress — это почти каждый пятый сайт. Успех платформы вполне логичен и закономерен, не зря еще 5 лет назад я сделал ставку именно на нее. Но сегодня речь пойдет не о преимуществах WordPress, а о его безопасности. Высокая популярность платформы активизировала злые силы, и вот уже на протяжении нескольких месяцев в Рунете идут массовые атаки на сайты, работающие на WordPress. Атаки настолько серьезные и настолько массовые, что не выдерживают даже самые мощные серверы. Хостинг-провайдеры, конечно, принимают меры, порой даже самые радикальные, вплоть до полной блокировки администраторских консолей WordPress. Поэтому, если вас еще не заблокировали, лучше самостоятельно провести ряд несложный действий по укреплению обороны вашего WordPress.

В этой статье я расскажу о самых эффективных способах защиты вашего сайта именно от брутфорса (brute force) — метода подбора и взлома пароля путем перебора всех теоретически возможных вариантов. Так как все последние массовые атаки работают по этому методу.

1. Первое с чего нужно начать — это избавиться от пользователя admin. Если у вас нет пользователя admin, можете сразу переходить к пункту 2. В WordPress начиная с 3 версии это делается очень просто. Достаточно создать нового пользователя, наделить его администраторскими правами, а старого пользователя «admin» — удалить. При его удалении, WordPress предложит вам выбрать нового пользователя, который станет автором публикаций старого администратора.

В старых версиях WordPress эта процедура проделывается с помощью пары SQL-запросов:

UPDATE wp_users SET user_login = 'Ваш новый логин' WHERE user_login = 'Admin'; UPDATE wp_posts SET post_author = 'Ваш новый логин' WHERE post_author = 'admin';

2. Очень важно обратить внимание на пароль администратора. Лучше если это будет хаотичная комбинация заглавных и строчных букв, знаков и цифр не менее чем из 10-12 символов.

3. При бутфорсе WordPress, производится огромное количество запросов к файлу авторизации «wp-login.php», и будет правильно обеспечить ему двойную защиту.

Если вы работаете с сайтом один, и ваш интернет-провайдер предоставляет вам статичный IP-адрес, вы можете разрешить доступ к директории «wp-admin» только с вашего IP-адреса, заблокировав тем самым для всех остальных даже возможность авторизации. Делается это следующим образом. В директории «wp-admin» создаем файл «.htaccess» следующего содержания:

order deny,allow deny from all allow from IP

Где IP — это ваш IP-адрес. Узнать его вы можете, например, здесь.

Если же, кроме вас с сайтом работают еще люди со статическими IP-адресами, вы можете просто добавить их в список ниже. Например, так:

order deny,allow deny from all allow from IP1 allow from IP2 allow from IP3

Где, IP1, IP2, IP3 — разрешенные IP-адреса.

Благодаря этому, все пользователи (боты) с IP-адресами, не указанными в списке разрешенных, просто не получат доступа к директории «wp-admin» и, соответственно, не смогут брутфорсить файл «wp-login.php». Всем им будет возвращаться ошибка 403.

Если провайдер вам выдает динамический IP-адрес, меняющийся с каждым новым подключением к Интернету, тогда этот способ не пройдет, т.к «.htaccess» придется редактировать при каждом вашем подключении к Сети. С помощью все того же «.htaccess» мы можем установить дополнительную серверную HTTP-авторизацию. Делается это следующим образом.

Все в той же директории «wp-admin» создаются два файла: «.htaccess» и «.htpasswd». В первом будут храниться инструкции, во втором разрешенные данные для доступа к директории.

В «.htaccess» пишем следующее:

AuthType basic AuthName 'Access Denied' AuthUserFile '/fullpath/.htpasswd' Require valid-user DirectoryIndex index.php

Где fullpath — полный путь к файлу «.htpasswd». Обратите на это должное внимание, т.к это самая частая ошибка. Полный путь вы можете узнать у своего хостинг-провайдера или с помощью небольшого php-скрипта:

$dir = dirname(__FILE__); echo '<p>Полный путь: ' . $dir . '/</p>';

Или другим способом:

echo '<p>Полный путь: ' . $_SERVER['DOCUMENT_ROOT'] . '/</p>';

Если вы по каким-то причинам не хотите паролить всю директорию «wp-admin», вы можете запаролить непосредственно файл «wp-login.php». Делается это аналогично, но в «.htaccess» нужно написать следующее:

<filesmatch "wp-login.php"=""> AuthName 'Access Denied' AuthType Basic AuthUserFile '/fullpath/.htpasswd' require valid-user </filesmatch>

Файл «.htpasswd» в обоих случаях должен выглядеть следующим образом:

username:password

Где username — это имя разрешенного пользователя, а password — это пароль. Обратите внимание, что пароль хранится в зашифрованном виде. Поэтому, предварительно ваш пароль нужно зашифровать. Сделать это можно, например, с помощью этого сервиса. На пароль действуют те же правила, что указаны в пункте 2 данной публикации.

Для использования нескольких пользователей с паролями, вы можете просто перечислить их по-порядку. Например, вот так:

username1:password1 username2:password2 username3:password3

Если вы сделаете все правильно, перед авторизацией в WordPress вам будет предложено ввести логин и пароль доступа к директории (файлу). И только после успешного входа вы сможете авторизоваться и войти в администраторскую консоль.

В Safari 6.0.5 на Mac OS это выглядит примерно так:

В других браузерах возможно немного иначе.

Выполнив хотя бы эти 3 пункта, вы в разы снизите вероятность взлома вашего WordPress.

Дополнительные меры по защите WordPress

Дополнительно вы можете защитить таким же образом файл настроек WordPress «wp-config.php». Я бы рекомендовал его защитить, потому что в нем содержатся данные для подключения к БД MySQL. Делается это аналогично:

<files wp-config.php=""> order allow,deny deny from all </files>

Также, я бы рекомендовал вам проверить директории вашего сайта. Дело в том, что очень многие хостеры и безалаберные сисадмины не закрывают по-дефолту просмотр директорий сайтов своих клиентов. Если, к примеру, ввести в адресную строку браузера: http://вашсайт/wp-includes/ и вы увидете содержимое этой директории — нужно бить тревогу и срочно закрывать просмотр. Для этого можно создать в директориях, которые вы хотите закрыть от просмотра, пустые файлы «index.html» или дописать в ваш «.htaccess» всего одну строку:

Options All -Indexes

Которая запретит серверу показывать содержимое директорий.

Кроме всего прочего, вы можете самостоятельно установить плагины безопасности WordPress, рекомендованные разработчиками платформы.

• BruteProtect
• Limit Login Attempts
• Lockdown WP Admin
• WP Fail2Ban
• Admin Renamed Extended
• Enforce Strong Password
• Wordfence Security
• 3WP Activity Monitor
• All in one WP Security

Их обзор в рамках данной публикации я проводить не буду.

Если в процессе настройки защиты WordPress от брутфорса у вас возникнут сложности — вы всегда можете обратиться ко мне за помощью. Контакты здесь.

Кстати

Как получить число лайков и репостов страницы ВКонтакте?. Я совсем недавно рассказывал как получить и вывести цифрами количество лайков Фейсбук. Сегодня я расскажу как получить количество лайков и репостов ВКонтакте. Действительно, часто возникает сильная необходимость сохранить единый стиль социальных счетчиков. Кроме этого, на основе полученных данных можно производить расчеты популярности тех или иных…

Выводим цифрами количество лайков страницы Facebook. Вроде бы мелочь, но иногда бывает очень нужно получить и вывести цифрами количество лайков или подписчиков страницы на Facebook. Например, чтобы создать и вписать в дизайн сайта нестандартную кнопку лайка. Для этого вы может воспользоваться простенькой функцией fb_fan_count(). function fb_fan_count($facebook_name){ $data = json_decode(file_get_contents("https://graph.facebook.com/".$facebook_name)); echo $data->likes; }…

Исправляем ошибку «Maximum execution time of 30 seconds exceeded» в WordPress. Ошибка «Maximum execution time of 30 seconds exceeded» иногда возникает во время обновления WordPress. Да, действительно скорость соединения сайта с серверами WordPress может быть не достаточна, в связи с чем время, необходимое на скачивание и установку обновления выходит за пределы отведенных 30 секунд. Некоторое время…

Источник: http://danilin.biz/wordpress-bruteforce-security.htm

Если Ваш сайт, написанный на базе популярного движка (WordPress, Joomla, Magento и др.), стал сильно тормозить, а в логах доступа сервера Вы видите множество обращений к странице логина или к странице администрирования, знайте — ваш сайт «нашли» боты-брутфорсеры и пытаются подобрать пароль администратора.Если с Вашим паролем всё нормально (он длинный и набран цифрами и буквами в разных регистрах), то Вы можете быть уверены, что брутфорсер его не подберёт. Но сам факт того, что происходит подбор, а тем паче то, что при этом страшно грузится сервер и расходуется трафик (особенно если на вашем хостинге он платный) откровенно говоря, напрягает.

Ниже я расскажу как избавиться от этой проблемки очень простым и бескровным способом.

Сперва предыстория. Проблемой я озаботился спустя некоторое время после того, как перешёл с «самодельного» движка на WordPress (впрочем, это мог бы быть любой другой более-менее распространённый движок). Запилил первый сайт и уже через неделю увидел в логах огромное количество запросов к странице логина. Поиски в интернете выводили на множество «рецептов», подавляющее большинство которых заключается в переименовании файла wp-login.php и его правке (поскольку адрес самой страницы неоднократно встречается в самом файле wp-login.php и других файлах движка.

Но этот способ означает правку ядра WordPress. А это влечёт за собой невозможность получать регулярные автоматические обновления ядра, а также несовместимость с некоторыми плагинами. К тому же способ абсолютно не спасает против тех роботов, которые ищут «дыры» в админке и плагинах, обращаясь с хитроумными параметрами по адресам вида /wp-admin/* В общем, этот способ сразу был отвергнут.

А идея моя заключается вот в чём.

Нужно завести специальную куку, такую, чтобы при её отсутствии сам сервер (Apache или Nginx) перехватывал обращения к странице логина или админке и выдавал вместо кода страниц код состояния 404, означающий полное отсутствие по этим адресам каких-либо страниц). А при наличии куки сервер должен просто обходить эту проверку и сайт должен работать как ни в чём не бывало. Брутфорсеры не тупые, они не будут бесконечно «долбать» отсутствующий URL и отступят.

Куку я планировал устанавливать автоматически с помощью секретного скрипта, который кроме всего прочего (для моего удобства) должен также переносить меня на страницу логина.

Теперь дело за реализацией.

Я привожу кусок конфига для Nginx, поскольку я пользуюсь только этим сервером, но, зная идею, Вы самостоятельно можете написать конфигурацию для Apache или другого сервера.

server { listen 80; server_name mysite.ru; root /var/www/mysite.ru/; index index.php; # ... Вот он наш кусок ... if ($cookie_mysecretcookie != "secretcookievalue") { rewrite ^/(wp\-admin/|wp\-login\.php) /not-found redirect; } # .... Конец куска .... }

Теперь файл PHP с секретным именем, который будет данную куку устанавливать:

<?php // Ставим секретную куку на месяц setcookie('mysecretcookie', 'secretcookievalue', time() + 3600 * 24 * 30, '/', 'mysite.ru', null, true); header('Location: http://mysite.ru/wp-admin/index.php');

Обратите внимание, что кука устанавливается на 1 месяц, значит, в течение месяца Вы можете заходить в админку даже не запуская этот секретный файл.

Вот и всё. Просто, правда? Разумеется, этот рецепт может быть повторен абсолютно для любого движка, Вам нужно будет только поменять пути и названия файлов.

Что-то непонятно? Спросите в комментариях!

Источник: http://epsiloncool.ru/programmirovanie/php/zashhita-sajta-ot-brutforsa-bez-pravki-koda

Всем, здравствуйте! Пришло время смахнуть пыль со своих старых черновиков с заметками и окончательно закрепить «первую линию обороны» молодого сайта. Речь сегодня пойдет о таких понятиях, как «защита контента» и «оригинальные тексты Яндекса». Чтобы сразу же с разбегу внедриться в суть проблемы данной статьи, предлагаю кратко перенестись в материалы первой части моего опуса о том, как защитить в Гугл оригинальность статей.

Предположим, Вы создатель и владелец молодого сайта. Большая часть Вашего времени уходит на написание и оформление уникальных статей (оригинальных текстов), обзоров, фотографий, диаграмм и прочих материалов именуемых «контентом». Если Ваши труды действительно интересные и полезные для мира сего, то рано или поздно Вы столкнетесь с такой «чумой XXI» века, как «незаконное копирование контента»…

Зачем защищать уникальный контент на своем сайте?

Система плагиата проста и до недавнего времени была очень эффективна – в один прекрасный день Вы публикуете на своем ресурсе новую удачную статью. Если Вы успели раннее попасть в поле зрения «пиратов» (воров контента), то в большинстве случаев происходит следующее…

Из-за того, что сайт молодой – о мгновенной индексации новых материалов поисковыми системами не может быть и речи. Пока Ваша статья с оригинальным текстом находится «в подвисшем состоянии» (в Интернете она уже доступна, однако в базе данных поисковых систем и выдаче ее еще нет) она копируется и публикуется на другом более «старом» ресурсе.

Если сайт вора трудится в Интернете уже довольно давно, имеет хорошие «пузомерки» (показатели тИЦ и PR), а также развитую систему аккаунтов в различных социальных сетях, то индексируется он намного быстрее новенького проекта. Поэтому в 99-ти случаях из 100 первой в индекс попадет Ваша статья со страницы с чужим адресом, где фигурирует его более «старое» доменное имя.

Затем проходит определенное время и в индексе появляется Ваша родная веб-страница с оригинальным текстом, опубликованная на Вашем собственном сайте… Однако статья эта, то оказывается уже и не оригинальная, и даже не Ваша! Так уж сложилось исторически и практически, что если на двух сайтах появляется одинаковый контент – предпочтение отдается тому, кто раньше попал в индекс.

В Интернете, как и в жизни – кто первый встал, того и тапки. В нашем случае: кто первый попал в индекс поисковой системы, тот и главный!

А если попадание происходит практически одновременно – предпочтение все равно отдается более старшему ресурсу. Это означает, что в выдаче поисковых систем (особенно это касается более инертного Яндекса) Ваш проект окажется ниже, чем Ваша же украденная скопированная статья.

Как ни крути – выходит, что автор молодого сайта пасет задних при любом раскладе, а его уникальный текст трудится на благо владельца другого сайта. Печалька… но выход есть! Существует целая система конкретных действий, помогающая защититься от наглых воров. Первым и наиболее простым шагом станет подтверждение авторства в поисковых системах Google и Яндекс.

Если с заморским поисковиком мы уже разобрались (как настроить авторство в Гугл читайте здесь), то с отечественным сервисом до недавнего времени для начинающих веб-мастеров все было не так просто! Что изменилось за последние месяцы? Яндекс стал как минимум на шаг ближе к молодым сайтам и это хорошо!

Оригинальные тексты Яндекса – подтверждаем своё авторство

В панели Яндекса для веб-мастеров имеется замечательный сервис под названием «Оригинальные тексты». Суть его очень проста – Вы самостоятельно сообщаете российскому поисковику о появлении на Вашем молодом сайте уникального контента. Для этого предусмотрена специальная форма ввода оригинального текста.

Теперь не нужно так сильно переживать об индексации и нет необходимости молиться о попадании в выдачу раньше потенциальных воров. Достаточно самому предупредить Яндекс о готовящейся публикации в глобальной сети!

После добавления текста система «попытается» учесть Вашу заявку на авторство в своих алгоритмах ранжирования и присвоит Вам законное звание первоисточника. Обратите внимание, что ключевое слово здесь – «попытается». Система именно — попытается, разработчики честно предупреждают нас о том, что никаких стопроцентных гарантий на учет нашей заявки в работе поисковых алгоритмов НЕТ.

Гарантии в 100% на учет Яндексом Вашей заявки с оригинальным текстом нет. Российская поисковая система называют цифру – не ниже 80%!

Однако лучше так, чем никак! Напомню, что совсем недавно сервис «Оригинальные тексты» был вообще на стадии тестирования и был доступен для сайтов с тИЦ не менее 10. Возникал закономерный вопрос, как быть молодому еще не прокачанному сайту? Продолжать кормить плагиаторов своими трудами? Переворот в жизни блоггеров с их новоиспеченными сайтами случился совсем недавно…

Официальный старт системы «Оригинальные тексты» пришелся на 24 октября текущего года. Теперь воспользоваться услугами этого инструмента может любой веб-мастер с любым сайтом. Все ограничения (в том числе и по тИЦ) сняты!

Возможности сервиса Яндекса «Оригинальные тексты»

Для убедительности я приведу небольшой перечень возможностей сервиса, которые «сулят» нам его разработчики:

1. Ограничения по тИЦ сняты полностью. Даже сайт, которому теперь день отроду может пользоваться всеми благами инструмента против плагиаторов;
2. Требования к минимально допустимому тексту снижены до 500 знаков, а максимальный размер составляет внушительные 32000 знаков! Заниженный минимальный порог для текста (раньше он составлял недеццкие 2000 значков ;)) большой плюс для интернет-магазинов и им подобным, где главным критерием является уникальный контент в коротких описаниях к товарам;
3. Яндекс реально использует базу данного инструмента в расчете ранжирования Ваших статей. Косвенно подача заявок с оригинальными текстами позволяет ускорить индексацию новых страниц на своём сайте;
4. На данный момент алгоритмы поисковика отдают предпочтение присланным веб-мастерами уникальным текстам в 80% случаев. Вероятность стать законным первоисточником очень и очень большая!
5. Не стоит печалиться, если в течение дня на Вашем проекте генерируется огромное число текстов и статей (например, таким «грешат» новостные сайты, интерет-магазины). Вручную вбивать каждую отдельную порцию контента не придется – в помощь придет автоматизация кропотливого процесса в лице приложений «API Вебмастера».

Из всего вышесказанного лично я сделал для себя такой вывод – однозначно лучше использовать этот сервис, чем игнорировать!

Давайте перейдем непосредственно к практической составляющей сегодняшней статьи. Для наглядности, в качестве примера я приведу скрин-шоты своих собственных пошаговых действий с инструментом «Оригинальные тексты». Подаваться моя авторская заявка будет как раз для данной статьи.

Как работать с инструментом «Оригинальные тексты» от Яндекса

Шаг 1. Заходим в свой личный кабинет «Яндекс. Веб-мастер». Я подразумеваю, что у Вас он уже есть и Ваш сайт добавлен в поисковую систему Яндекса. Если еще нет – исправьте это немедленно! Первым делом заведите почтовый ящик в Яндексе, затем добавьте в панели веб-мастера свой сайт и подтвердите права на него.

В разделе «Мои сайты» выбираем требуемый проект, на котором будет публиковаться новая оригинальная статья (текст).

Шаг 2. После того как мы оказались в кабинете своего конкретного сайта – обратим свой взор на главное меню в левой части экрана. Нас интересует раздел «Содержание сайта» по нему и жмакаем!

Важно: Если Вы в этом разделе впервые, то ситуация на Вашем экране будет немного отличаться от моей… Чтобы получить тот же результат, необходимо проделать дополнительный шаг – выбрать среди предложенных инструментов в окне «Что Вы можете подключить» инструмент «Оригинальные тексты».

Шаг 3. Переходим непосредственно в инструмент «Оригинальные тексты». Советую тут же по горячим следам ознакомиться с советами от разработчиков, дабы в будущем избежать глупых ошибок при использовании этого сервиса!

Шаг 4. Как видно инструмент Яндекса «Оригинальные тексты» имеет очень простой и понятный интерфейс. Я выделил здесь такие важнейшие части: краткая инструкция от разработчиков с ссылкой на раздел помощи (Верхняя часть), кнопка для активации формы добавления уникального текста «Добавить новый текст» и список уже загруженных текстов (Нижняя часть страницы).

Шаг 5. Жмем кнопку «Добавить новый текст» и вставляем в выскочившую форму из буфера обмена свой оригинальный текст. Система тут же подсчитает количество знаков нашего писания. Ух… 10813 знаков не хило я сгенерировал, можно пойти даже печеньку скушать! Если текст вставился целиком, можно смело отправлять его на проверку системы (кнопка «Добавить» в правой части под формой ввода).

Шаг 6. Получаем подтверждение, что подача нашей заявки прошла успешно. Радуемся!

Вот собственно и вся хитрость. Теперь можете смело отправляться в административную консоль своего сайта и публиковать этот контент в глобальной сети.

Очень важный момент: добавлять оригинальный текст в инструмент Яндекса следует ДО публикации статьи, а не после. Иначе эффекта не будет никакого, по крайней мере, так утверждают сами разработчики!

Важные особенности инструмента «Оригинальные тексты»

Вместо традиционного прощания, я предлагаю ознакомиться с некоторыми важными особенностями инструмента «Оригинальные тексты от Яндекса». Все пункты я сформировал на основе раздела «Ответы на часто задаваемые вопросы».

• Для успешной заявки Ваш текст должен отвечать двум основным критериям: нет аналогов в Интернете (оригинальность) и подходящий размер (от 500 до 32000 знаков без учета пробелов);
• Здесь действует правило – одна страница – один текст — одна форма. Не стоит в одну и ту же форму заливать разные текста с различных страниц, Яндекс учитывает только текст с одной страницы;
• Если вдруг Ваш супермануал перешагнул за планку 32000 символов (хотелось бы увидеть такую статью, но читать бы не рискнул :)) разбейте текст на две части и последовательно введите его в основную форму;
• В сервисе Яндекса действует ограничение – не более 100 оригинальных текстов для одного сайта в день!
• В форму следует добавлять только чистый текст без различных тегов HTML-разметки.

Лично я пользуюсь для написания своих статей старым добрым текстовым процессором «Microsoft Office Word 2007» — и перечитывать уже напечатанное удобно, и слова считать со знаками параллельно можно, а еще полезно следить за грамотностью вместе с пунктуацией!После написания остается лишь скопировать текст в буфер обмена и закинуть его в сервис Яндекса «Оригинальные тексты». Затем можно публиковать на своем сайте.

На финише проделанной работы можно ненадолго откинуться в спинке кресла и отпраздновать свою маленькую победу — Вы обошли воров! Пускай плагиаторы теперь бьются головой об клавиатуру в бессильной злобе – законный автор и первоисточник текста – теперь только Вы!

Спасибо за Ваше ценное внимание!

Автор: Сергей ГеркХард

Источник: GerkHard.com