Заметки Системного Администратора
Ограничение доступа к сайту по IP
Иногда, для пущей безопасности сайта, необходимо ограничить доступ к админке или к всему сайту с некоторых ip адресов.
Например для своего блога я использую Limit Login Attempts, который блокирует IP адреса на время после неправильного ввода пароля в админку (благодаря этому мы затрудним злоумышленнику подбор пароля), но этот плагин тема отдельного поста, скажу лишь что после блокирования n-го количества раз я заношу этот IP в список ограничения доступа.
Перед всеми манипуляциями не забудьте сделать бекап!
Ограничение доступа
Для блокирования ip необходимо в папке админки (для wordpress это /wp-admin) создать файл (возможно у вас уже есть файл, тогда просто отредактировать) .htaccess и добавить в него следующие строки:
# Запрет доступа по IP Order allow,deny allow from all deny from 78.46.238.14 deny from 12.238.214.194 # END
Где строки начинающиеся с # это комментарии, затем мы задаем параметры доступа, вначале разрешаем всем, а потом блокируем по одному IP.
Либо можно просто перечислить IP через запятую:
# Запрет доступа по IP Order allow,deny allow from all deny from 78.46.238.14, 12.238.214.194 # END
Если в движке доступ к админке в корне директории (что странно, но иногда бывает на самописных двиках), либо просто хочется заблокировать доступ с адресов полностью к сайту, то можно отредактировать файл .htaccess, находящий в корне сайта.
Если интересно что за ip вас тревожат, то можно пробить информацию по ip адресупо специальным whois сервисам: например ip 78.46.238.14 из германии, а 12.238.214.194 из америки. Конечно там русскоговорящие тоже есть, но скорее всего это просто прокси (на первом ip например висит vps сервер), а если на сайт ломятся откуда то из африки, то зачем вам такие посетители — их можно блокировать полностью.
Ограничение полного доступа к сайту по IP это конечно крайняя мера, но если с пары ip адресов уже которые сутки подбирают пароль, то лучше заблокировать доступ с этих адресов польностью.
Даже если у вас криптостойкий пароль, у вас нет администратора по умолчанию (например у wordpress это admin), то все равно брутфорсеры создают ненужную лишнюю нагрузку для вашего сайта, а поисковики нынче обращают внимание на быстроту ответа и загрузки сайта, так что лучше искоринить лишние запросы, тем более многопоточные.
В идеале лучше всего разрешить доступ только с тех ip, с которых вы заходите на сайт, но в условиях динамической смены адресов я знаю только один способ — использовать прокси сервер, может быть есть еще методы?
Если интересно, могу побольше рассказать о тех параметрах защиты сайта которые я знаю.
