• Можно ли ограничить вход в учётку в WP не убирая возможность комментирования в блоге?

    OtshelnikFm
    @OtshelnikFm Куратор тега WordPress
    Обо мне расскажет yawncato.com
    Я вижу несколько вариантов
    1. Пусть комментируют не зарегистрированные юзеры.
    Тогда регаться им не надо будет, достаточно на форму комментария поставить гугл рекапчу (или его же invisible каптчу)
    А страницу wp-login.php закрыть на уровне пароля сервера (htpasswd файл)

    2. Если юзерам для комментирования надо логиниться, то тут никак не ограничишь - ус-ва у всех разные - значит миллионы потенциальных комментаторов не отфильтровать только по 2-м и 3-м устройствам.
    Тогда достаточно поставить плагин типа limit login attempt - если вы не шарите, как ограничить подобное на уровне сервера. Нагрузка будет конечно больше - т.к. айпишники будут подсчитываться ВП, а не сервером.
    Но это лучшее решение.
    Я даю 3 попытки для одного ip и блочу на час. И второй залет блочу уже на 2-е суток. Герои спустя месяц прописываются на постоянку в htaccess.

    Но! Тут не надо параноидально бояться - "вот юзер с ролью подписчик попадет в мою админку..."
    Ну попадет он туда - но его права настолько низкие, что он ничего не сможет сделать плохого. Вот таблица прав и привилегий https://wp-kama.ru/function/current_user_can

    Хотя есть простенькие сниппеты, которые позволяют не пускать с определенной ролью в wp-admin область
    И пусть себе комментируют.

    Плагин WP-Recall ограничивает доступ по роли в админку. Под него также есть сниппет, чтобы отключить ВП регу и пользоваться регой из плагина. А файл wp-login.php можно вообще закрыть. Или дополнение, которое капчи туда вписывает и меняет путь к wp-login.php - совместно с отключенным файлом wp-login.php - это хорошая защита. Комментировать и писать записи юзеры могут из фронтенда.

    Проблемы для ВП я вообще не вижу - ну долбятся боты подбирая пароль и логин админа. Даже зная логин админа, если у админа стоит пароль уникальный для этого сайта (а не один пароль на 10 сайтов) и он из минимум 12-ти символов, содержит цифры, буквы в регистре и спецсимволы - ботам понадобится 34 тыс лет чтобы подобрать его https://howsecureismypassword.net/

    Вот и думайте
    Ответ написан
    Комментировать
  • Защита сайта WordPress от Заказчика?

    multiscripter
    @multiscripter
    Универсальный план (озвучивайте заказчику при заключении сделки):
    Без предоплаты либо символическая предоплата.
    Делаете сайт. По ходу разработки показываете прогресс только через скриншоты, либо посредством демонстрации экрана.
    Когда сайт готов действия следующие:
    Если заказчик сразу просит файлы: требуйте полную оплату (либо полностью остаток если была предоплата).
    Если заказчик просит что-то типа "хочу посмотреть/потестить сайт в разных браузерах/устройствах (то есть фронтенд): требуете 50% оплаты (или больше/меньше - зависит от объёма работы на фронтенде в процентном соотношении от объёма всей работы), заливаете на свой хостинг и пусть он смотрит/тестит.
    Если заказчик просит что-то типа "хочу посмотреть админку": требуйте полную оплату (либо полностью остаток если была предоплата).

    По поводу
    миллион правок
    во время разработки/после сдачи - всё должно быть прописано в ТЗ. Всё, что не описано в ТЗ (если ТЗ вообще есть) вы вольны делать так, как считаете нужным. Но не стоит этим бравировать. Лучше выяснять все спорные моменты до, чем после.
    Ответ написан
    Комментировать
  • Защита сайта WordPress от Заказчика?

    @tyzberd
    так у него уже будет бэкап, будете каждый раз ломать? Можно наверно написать скрипт, который будет что то в базе менять.
    Вообще даже с вашего хостинга имея доступ в админку можно файлы и базу получить.
    Он же видит что сайт готов, пусть оплатит, тогда зальете, или например 80% пусть даст.
    Ответ написан
    2 комментария