Otshelnik-Fm
Абитуриент
 
Регистрация: 03.08.2013
Адрес: Saratov
Сообщений: 4
Репутация: 10
Отправить сообщение для Otshelnik-Fm с помощью ICQ
Социальные сети Twitter

	
По умолчанию Re: Ботнет 10к+ на wp-login
Решение для тех у кого много пользователей пользуются авторизацией.

1. Создаете файл в корне блога (там где wp-login.php), называете его как хотите, но не так как в этой статье. Я назвал его fggtreswerr.php

2. в него копируете весь код из wp-login (код придется обновить при обновлении движка в будущем)
3. В этом файле (fggtreswerr.php) находите все упоминания wp-login.php и меняете на имя созданного файла (в моем примере fggtreswerr.php). У меня нашел 20 упоминаний. Сохраняете.

Теперь вы можете зайти на блог через строку http://ваш-сайт/fggtreswerr.php

4. Закрываем в файле .htaccess (в корне блога) доступ к wp-login.php. Для этого вписываем
Код:

<filesmatch "wp-login.php">
Order Allow,Deny
Deny from all
</filesmatch>

и при заходе http://ваш-сайт/wp-login.php сервер будет отдавать 403 код.

5. но в админке для того чтобы выйти нам надо переписать адрес выхода. Используем экшн, вписываем его в файл functions.php своей темы:

Цитата:
add_filter('login_url', 'my_custom_login_url');
add_filter('logout_url', 'my_custom_logout_url');

function my_custom_login_url($force_reauth, $redirect=null){
$login_url = site_url('fggtreswerr.php');
if (empty($redirect)) $redirect=home_url();
$login_url = add_query_arg('redirect_to', urlencode( $redirect ), $login_url );
return $login_url ;
}

function my_custom_logout_url($force_reauth, $redirect=null){
$logout_url = wp_nonce_url(site_url('fggtreswerr.php')."?action=logout", 'log-out' );
if (empty($redirect)) $redirect=home_url();
$logout_url = add_query_arg('redirect_to', urlencode( $redirect )."/?loggedout=true", $logout_url );
return $logout_url ;
}
обратите внимание: fggtreswerr.php в этом коде вам нужно заменить на свою новую страницу входа.

в этом коде:

add_filter('login_url', 'my_custom_login_url');
add_filter('logout_url', 'my_custom_logout_url'); - необходимы для входа и выхода (если используется виджет входа вп).

код использует wp_nonce_url для генерирования случайной строки в урл. Необходимая мера для защиты.

$redirect=home_url(); - после выхода - редирект на главную страницу

Плюсы:
Теперь ваш wp-login.php закрыт для всех
вам в .htaccess каждый раз не нужно вписывать ваш новый динамический айпи.
Блогом продолжают пользоваться ваши многие зарегистрированные пользователи
Файлы движка мы не трогаем
Код в functions.php ни коем образом не грузит сайт

Минусы:
При обновлении движка блога вам нужно скопировать новый wp-login.php в ваш файл авторизации и выполнить пункт 3

Но это так просто

http://forum.searchengines.ru/showpost.php?p=12014848&postcount=181