Защищаем WordPress от брутфорса.
Одним прекрасным вечером мне начали сыпаться предупреждения о недоступности сайтов.
Сайты то отключались то снова включались. Странно.
Посмотрев на трафик – посещение не возросло, а значит почему-то возросла нагрузка на сервер (загрузка процессора подскочила до 100%).
Оченя плохо начальника!
Заглянув в логи обнаружил что кто-то постоянно пытается обратиться к страницам входа в админку сайтов на вордпресс.
На лицо типичный брутфорс или брут.
Брутфорс – перебор паролей. Специальная программа пытается подобрать пароль к сайту, путем простого (или не простого) перебора паролей.
Естественно это сильно нагружает сайт, т.к. сервер должен обрабатывать кучу запросов. В итоге сайты перестают отвечать и ваши посетители не могут нормально пользоваться сайтом.
Выход может быть следующим.
Поставим между злоумышленником и сайтом еще одну стеночку. Да, все можно сломать, но это дополнительное время + снижение нагрузки на сайты.
Т.е. для того чтобы попасть на страницу ввода пароля к Вордпресс нужно ввести еще один пароль.
Делается это так:
Создаем в корневой директории сайта файл .htpasswd да, да с точкой вначале (ваша конфигурация сервера может не отображать такие файлы – мучайте саппорт)
Далее идем на сайт http://www.htaccesstools.com/htpasswd-generator/ и вводим логин и пароль
получаем на выходе такой текст (логин test пароль test вам есть смысл ввести свои данные)
test:$apr1$LXKKNrgE$YhE9qKIB.aCqf3syFXbIo0
Эту строчку и помещаем в новосозданный файл
Далее открываем файл .htaccess (или создаем, если его нет)
и пишем (или дописываем в конце)
<Files wp-login.php>
AuthName “Access Denied”
AuthType Basic
AuthUserFile полный_путь_до_корня_сайта/.htpasswd
require valid-user
</Files>
где “полный_путь_до_корня_сайта” – это абсолютный путь от корня файловой системы.
например, для ISPManager он будет выглядеть так: /var/www/имя_пользователя/data/www/адрес_сайта/.htpasswd
Готово!
Теперь проверяем работоспособность и с облегчением вздыхаем. Сайты работают.
Пока…
Дропшиппинг в России…
Как вы конечное (не)знаете я кроме всего прочего занимаюсь интернет продажами и держу небольшой интернет магазинчег.
А есть в природе такая чтучка как дропшипинг.
В теории – идеально:
Есть производитель, который производит.
Есть барыга-спекулянт (я) который продает.
Раньше я должен был закупать товар, тащить его транспортной, хранить, потом рассылать клиентам.
И все это в век нанотехнологий и инноваций. Беда беда.
Но тут умные люди придумали другую схему.
Производитель не просто производит, но и рассылает товар непосредственно клиентам.
Я размещаю на своем сайте их позиции, рекламирую их, а заказы передаю производителю (поставщику).
А тот отправляет их покупателю.
Все довольны, все смеются и бабло на кармане.
Вот решил я испытать один из сервисов дропшипинга.
Как настоящий ученый – все на себе.
Заказал одну недорогую позицию, жду.
Оказывается, что поставщик находится в Екатеринбурге, но он пока не отправляет абы кому, а только в центр выдачи в Йошкар-Оле, так что надо подождать пока соберется заказ и поедет туда.
А оттуда уже его отправят мне.
Ок. Сервис растет, не все еще гладко, подождем.
Заказал. Дело было 19 февраля.
Проходит время. Тишина.
26 марта. Хм. А где мой заказ? Пара звонков - товар оказывается уже в Йошкар-Оле, оплатил, жду отправки.
Тишина.
Пара звонков – ок, оказывается все уже отправлено, вот номер отправления.
Забиваем в программку для отслеживания и ждем.
Что мы видим:
27 марта – товар поступил на почту Йошкар-Олы
28 марта – покинуло сортировку Йошкар-Олы
Сегодня 4 апреля, я уже потираю руки, жду когда же посылка поступит на сортировку Омска.
Бинго! Обновление статуса!
Посылка поступила на сортировку…. города героя Москвы…
Вероятно, только через пару дней она отправится в Омск.
Делаем ставки. Уложимся ли мы в 2 месяца?
UPD: получил посылку 15 апреля. Чуть чуть до 2х месяцев не дотянули…
А для тех, у кого туго с географией масштаб трагедии можно оценить на этой картинке:
А вы спрашиваете, почему в Москве пробки…
Выжигание аудитории
Раз за разом наблюдаю следующую картину:
Компания начинает использовать какой-либо канал привлечения клиентов. Сначала все идет просто отлично, а затем “вдруг” как обрезает. Заказы перестают идти. Реклама перестает работать.
Почему так происходит?
Я расскажу свои предположения Далее…