Вопрос Маленькая полезняшка для WordPress

f3n0m сказал(а): ↑

каких-то отрицательных сторон, которые для меня не очевидны.
Нажмите, чтобы раскрыть...​

нет. Все ок.
​

 

нету
​

 

А что если они знают эту фишку?)
Тогда ведь задолбят=) Да и те кто на широкую руку и профессионально это делают, скорее всего обходят такие вещи на техническом уровне... То есть боты проверяют данный метод. Или не каждый так сделать догадается, поправьте меня...
​

===============================
​

 

f3n0m сказал(а): ↑

Вот тут поставил себе для WordPress сайтов маленькую штуку и решил народ спросить, нет ли каких-то отрицательных сторон, которые для меня не очевидны.

Штука такая, как многие WordPress'еры знают, сайты часто любят бомбить всякие подонки на предмет подбора паролей. Долбят соответственно wp-login.php. Да, есть плагины, которые позволяют переименовать wp-login.php или заблокировать активность, но если мы не хотим вмешиваться во внутренности сайта клиента, а сделать что-то надо, ведь долбёжники нагружают систему!

В общем, у себя я сделал так. В .htaccess добавил следующие правила:

RewriteCond%{REQUEST_URI}=/wp-login.php
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yoursite\.com
RewriteRule(.*)-[F]

Поясняю, что они дают. Вызвать wp-login.php теперь можно только зайдя на какую-либо страницу сайта. В этом случае устанавливается переменная HTTP_REFERER равная странице вашего сайта, откуда произошёл вызов. (Разумеется yoursute\.com вам надо заменить на имя своего сайта)

Долбёжники обычно долбают с пустым реферером, поскольку долбают роботом, который на сам сайт не заходит. И в это случае получают 403-ю ошибку, не нагружая сервер.
Нажмите, чтобы раскрыть...​

Бесполезная по сути вещь. Если ваш сайт долбежники любят не в пачке с остальными(хотя если есть данная статья в широких кругах, то может и для обработчика пачек - есть патчи), то передать реферер тем же ботом - дело ~7 секунд на патч.
​

​