Как поступать с ботами проверяющими wp-login?

Question

[Дмитрий Филандор]

Всем привет!

Регулярно в логах вижу ошибки файл не найден и путь wp-login, wp-upload и прочие пути к CMS....

Я айпишки этих ботов на уровне фаервола блокирую.... но как то поднадоело уже... может есть что то более эффективное?

Например если вижу что стучатся по пути wp-login то редиректить их на свою главную страницу (чтобы заход засчитывался), но может для СЕО это еще хуже....

PS у меня самописный сайт, там нет всего этого, и в лог пишется ошибка - файл не найден.

В общем нужно слово спеца.

Спасибо.

Comments

[Ульрих]

Я их сразу баню через fail2ban (после первой же попытки доступа)

Answer 1

[Радость моя]

Самое эффективное это:

Disallow: /wp-login*
Disallow: /wp-upload*

В robots.txt

P.S. Роботы которые даже при этом будут стучатся к указанным в Disallow путям - нелегалы. Yandex Bot и Google Bot (да и BingSearch Bot) всегда сначала смотрят в robots.txt.

Comments

[Дмитрий Филандор]

у меня самописный сайт, там нет всего этого, и в лог пишется ошибка - файл не найден.

[Максим]

Дмитрий Куликов: для чего пускать робота в системные папки ?

[Радость моя]

Если у Вас самописный сайт - создайте файл в корне сайта, назовите его robots.txt, и запишите туда вышеописанные мною строки. За более точной структурой robots.txt можете обратится к официальной документации Яндекса: https://yandex.ru/support/webmaster/controlling-ro...

[Дмитрий Филандор]

t-alexashka: Роботы которые даже при этом будут стучатся к указанным в Disallow путям - нелегалы - наверно меня не правильно поняли, я имел в виду не поисковых ботов.... а ботов - скрипты взломщики..... которые подбирают пароли, проверяют "дыры в плагинах"..... вот их я как то хочу присеч, чтобы они не создавали нагрузку на сайт.... иногда по 50 запросов за несколько минут совершают.... и так каждый день... я проверю айпишник бота... - вижу он в черном списке... типа хакер, ну и добавляю его в черный список... но похоже этим хакерам нет конца.

[Радость моя]

Дмитрий Куликов: я бы не советовал их перенаправлять на главную. Лучше просто отдавать статус 404.

[Дмитрий Филандор]

t-alexashka: 404 это тоже нагрузка.... если у меня был бы ВПС я плевал бы, а так шаред.... каждый запрос на вес.

[Радость моя]

Можно еще попробовать переименовать папки. Роботы ведь бомбят известные названия, такие как wp-login. Пусть стучится в никуда.

[Радость моя]

Если вы бережете каждый запрос, то только по ip на уровне файрвола. А так лучше возьмите VPS, и настройте грамотно iptables. К ней вроде была возможность подключать онлайн списки негодяев, чтобы не добавлять по 1 IP.

[Дмитрий Филандор]

Александр: да, на вп_шных сайтах я руками все позакрывал и обезопасил.

то есть все таки есть мнение, что можно всех хакерботов на главную "футболдить/редиректить"?

[Дмитрий Филандор]

Александр: спасибо, напишите ответ - я выберу решением

[Радость моя]

Дмитрий Куликов: "то есть все таки есть мнение, что можно всех хакерботов на главную "футболдить/редиректить" вы говорите про то что экономите каждый запрос, и в тоже время создаете еще большую нагрузку на сайт, т.к. отдавать ненужным людям будете целую страницу, вместо обычного заголовка 404.

[Дмитрий Филандор]

t-alexashka: ну не проблема вместо этого !^11\.11\.111\.111$ любой другой адрес указать

Answer 2

[xmoonlight]

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (libwww-perl|curl|wget|python|nikto|scan) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ({|}|<|>|’|%0A|%0D|%27|%3C|%3E|) [NC,OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-upload [NC,OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin
RewriteRule .* index.php [F,L]

Comments

[Дмитрий Филандор]

я так понял в этом варианте мы простых юзеров не обрабатываем....

[xmoonlight]

Дмитрий Куликов: Здесь только блокировка "кривых" запросов. Эти правила для всех.