WordPress-хак №2: wp-login.php и xmlrpc.php


WordPress-хак №1: Как сделать фикс в сайдбаре для чайников

Продолжаем умничать на тему статейников на WordPress. Это будет целый цикл статей, которые я опубликую в ближайшее время по мере появления желания чего-нибудь писануть в блог.

xmlrpc.php

Нахуй не нужный файл для статейников. Однако его часто запрашивают различные боты, что сильно грузит сервак. Редактируем этот файл и помещаем в него, например, всего одну строчку:

Хуй! Пизда! Джигурда!

Загружаем обновленный файл на сервак, ставим на него права 444, чтобы ебучий WordPress не перезаписывал этот файл при каждом обновлении:

Боты идут нахуй…

wp-login.php

wp-login.php — слабое место вашего сайта. Хацкеры не дремлют и постоянно будут брутфорсить вашу адимнку. Вдруг вы поставили слабый пароль типа «123456»? Опять же это будет сильно грузить ваш сервак. Вместо того, чтобы обрабатывать генерацию страниц проц будет генерировать страницу для хакера.

Эту проблему можно решать с помощью плагинов. Но я не сторонник плагинов. Я за минимальное их кол-во в системе, если можно обойтись без них.

Что мы делаем? Копируем этот файл с новым названием, например:

wp-hui-pizda-login.php

Открываем файл и переименовываем каждое вхождение «wp-login.php» на «wp-hui-pizda-login.php».

А в исходный файл вставляем одну строчку:

Хуй! Пизда! Джигурда!

Исходный wp-login.php и новый wp-hui-pizda-login.php заливаем на сервер. Для файла wp-login.php выставляем права «444». Ну вы поняли зачем.

Теперь в админку можно будет зайти только по новому адресу:

http://site.ru/wp-hui-pizda-login.php

Брутфорсеры сосут. Сервак отдыхает. Все радостные. Солнце светит. Розовые пони скачут по радуге. С неба падают конфеты. На столе заваривается дошик. Рядом бутылка дорогого виски…


32 коммента

3 августа 2017

Треп по сабжу

  • Gandalf White gandalfwhite.ru

    3 августа 2017 в 16:52

    wp-login.php закрывают через .htpasswd

    • Alex Black alexblack.wtf

      3 августа 2017 в 17:06

      А что ты скажешь тем, у кого сайты крутятся не на apache, а на nginx, а? Чем проще решение, тем лучше. Не каждый знает что такое htaccess и htpasswd

      • VPSadm vpsadm.ru

        3 августа 2017 в 17:28

        А для них я скажу что надо делать вот так в конфиге nginx:

        location ~* xmlrpc {
        return 444;
        }
        location ~* wp-login.php {
        return 444;
        }
        location ~* wp-admin {
        return 444;
        }
        Да и не только для них. А для любых случаев. Самое надёжное колдунство. Плагины или .htaccess могут обосраться при слишком интенсивной атаке и всё равно напрягать сервер.

        • Alex Black alexblack.wtf

          3 августа 2017 в 17:39

          Ууу. Это ты продвинутый одмин, а простой хомячок даже не знает куда и как лезть, чтобы это прописать. Я уже молчу про шаред-хостинги типа Бегет, где в конфиг ты вообще не залезешь. Так что мое решение мне кажется самым простым.

          • В рот ебал тебя

            3 августа 2017 в 18:47

            Простые хомячки пусть хуй сосут, а не сайты лезут делать. ебать

          • Alex Black alexblack.wtf

            3 августа 2017 в 19:08

            точняк =)

  • Александр

    3 августа 2017 в 17:50

    О бля) Спасиб) какраз для чайников, как я)Просто и легко) А я все всаживаю ВП сесурити, а тут проще.

    • Seoonly-shmonly

      4 августа 2017 в 00:06

      Тогда вы простой хомячок, как сказали выше, пройдите, пожалуйста, пососать хуй))))

  • Анальное Родео

    3 августа 2017 в 17:57

    Приветствую, мастера! Какие еще лайфхаки в отношении вордпрэса порекомендуете протев хеккеров ?

    • Alex Black alexblack.wtf

      3 августа 2017 в 18:08

      Следи за обновлениями на блоге. Будут еще ВротМнеПресс-хаки

  • WebPromote.Ru webpromote.ru

    3 августа 2017 в 21:57

    С правами доступа реальный лайфхак. Так действительно проще. Только вот на позиридере заминусовали твой годный пост. Другого от тебя ждет толпа … стилистика не твоя.

  • Платон Щюкин ad.yandex.ru

    3 августа 2017 в 23:02

    Мы тут проверили…

    • Alex Black alexblack.wtf

      4 августа 2017 в 00:23

      =)))) правда у меня чот не так кажет.

  • Seoonly-shmonly

    4 августа 2017 в 00:08

    wp-hui-pizda-login.php — джигурда не годуэ! Сашка, исправляйся, сцукобля?!

    • Alex Black alexblack.wtf

      4 августа 2017 в 00:21

      Ага, обидел как-то Джигурду. Подумал слишком длинно будет…

      • Seoonly-shmonly

        4 августа 2017 в 07:56

        Да не пизди, ты просто за красоту и эстетику же — сочетание букв dj хуево выглядит в начале слова, правда же?)))

  • Вася Пупкин

    4 августа 2017 в 12:19

    Спасибо бро!

    Как раз надо было на 20 сайта вп настроить это, ленился инструкцию писать, а тут всё уже написано, выручил. Пиши чаще! :)

  • Артемчик mainavi.ru

    4 августа 2017 в 18:12

    Лучше скажи зачем ты ставьшь ставку на сайт, который у меня в ссылке? Он там е падает трафик

    • Alex Black alexblack.wtf

      4 августа 2017 в 18:43

      Я считаю сайт годным для инвестиций.

    • Seoonly-shmonly

      5 августа 2017 в 07:26

      А с помощью какого плагина ты сделал подгрузку статей на главной? Подскажи, пожалуйста

      • Alex Black alexblack.wtf

        7 августа 2017 в 11:30

        Это не плагин, а всего один яваскриптик — смотри в коде.

  • oxojeck oxojeck.ru

    8 августа 2017 в 12:00

    Привет, подскажи плиз, как ты обрезал у «http://» вначале (я про ссылки справа от ника)?

  • Overdese

    9 августа 2017 в 19:15

    Внимание, ОФФТОП! Я тут перечитывал скопом все ваши посты и комменты за последние несколько месяцев и родилась мысля по поводу траблов в аутентификацией пользователей в комментах. Так чего бы вам не собраться, не запилить «анонимный» oauth2 сервис с простой верификацией конкретного юзера, аля TXT запись в DNS, файл на сайте, ну или метатэг в хедере на главной. Имхо, решит кучу проблем с трэшем в комментах.

  • Пози pozi.pro

    13 августа 2017 в 05:16

    финстрипа не будет77

    • Alex Black alexblack.wtf

      13 августа 2017 в 12:40

      Чот вроде бы собирался писать, никак не допишу =) Некогда.

  • auto insurance market share www.capebretoncountryclub.com

    14 августа 2017 в 18:22

    auto insurance zebra
    [url=http://www.resa3d.it/index.php?option=com_k2&view=itemlist&task=user&id=127086]auto
    insurance in ga[/url]
    auto insurance yongsan korea
    auto insurance gastonia nc

  • top auto insurance companies 2015 paneinattesa.altervista.org

    14 августа 2017 в 22:28

    auto insurance exam
    [url=http://racsafrica.com/index.php?option=com_k2&view=itemlist&task=user&id=215522]can auto insurance be secondary[/url]
    auto insurance alabama
    auto insurance effective

  • auto insurance compare axionbusinesstechnologies.com

    15 августа 2017 в 01:09

    is auto insurance required
    [url=http://supplyconceptsinc.com/index.php?option=com_k2&view=itemlist&task=user&id=2207717]auto insurance in ga[/url]
    auto insurance with no license
    free online auto quote

  • auto insurance needs thespiralstaircasecompany.co.uk

    15 августа 2017 в 17:17

    auto insurance gastonia nc
    [url=http://www.indigoskatecamp.co.za/index.php?option=com_k2&view=itemlist&task=user&id=490557]auto insurance growth rate[/url]

    auto insurance with rideshare
    what auto insurance is required by law

  • auto insurance full coverage cartronica.pt

    15 августа 2017 в 18:59

    auto insurance louisville
    [url=http://www.yopougon.ci/index.php?option=com_k2&view=itemlist&task=user&id=715285]auto insurance
    michigan[/url]
    cheapest auto insurance rates
    auto insurance underwriters

  •