Olá pessoal

 

estou abrindo este tópico para compartilhar com vocês mais um segredo para aumentar a segurança dos seus servidores.

 

Essa segurança visa bloquear o acesso ao admin do wordpress para ips internacionais.

 

É bom lembrar que sistemas automatizados tentam fazer brutal force nas admins gerando alto consumo de CPU. Esperar pelos usuários para que os mesmos deixem seus Wordpress seguros é bastante arriscado e você pode ter problemas de estabilidade.

 

Para instalar essa segurança extra, crie um arquivo chamado .htaccess e coloque dentro da /home/  e cole as linhas deste arquivo presente no link abaixo

 

http://www.myway.com.br/security/htaccess.txt

 

Não esqueça de deixar o arquivo no servidor chamado de .htaccess ( ponto htaccess )

 

( INCLUA O IP DO SEU SERVIDOR EM UMA LINHA DE ALLOW )

 

Nós atualizamos os ips nacionais hoje nesta lista e regularmente atualizamos também em

 

http://www.myway.com.br/security/IpsBrasilFinal.txt

 

Nós temos outro tutorial onde ensinamos a manter essa lista atualizada no link abaixo

 

 

Veja que se você atualizar os ips, você precisará também colocar um ( Allow from ) ao lado esquerdo da faixa nova.

 

Caso tenha dúvidas para instalar essa proteção extra para Wordpress, responda esse tópico

 

Sucesso a todos !

Eu faço diferente, uso o plugin ithemes security e mudo o endereço de login, assim quando alguém tenta acessar /wp-admin ou /wp-login.php é mostrado erro 404

Eu faço diferente, uso o plugin ithemes security e mudo o endereço de login, assim quando alguém tenta acessar /wp-admin ou /wp-login.php é mostrado erro 404

 

Olá Thiago

 

Essa não é uma proteção para um site apenas e sim para todos sites no mesmo servidor. Ao colocar dentro de /home/ todos os sites dentro do servidor receberão a proteção. Abraços

Ótimo Tutorial :D Parabéns Marcelo!!!

Mas isso não irá sobrescrever o .htaccess dos clientes?

Mas isso não irá sobrescrever o .htaccess dos clientes?

 

Não, isso fica dentro da /home/ e irá afetar apenas os 2 arquivos que estão presentes no início da proteção. 

Ótimo Tutorial :D Parabéns Marcelo!!!

 

Blz :D  . Criamos este devido a massificação de tentativas de brutal force em Wordpress. Devido a sua estrutura de arquivos, foi possível fazer essa proteção. 

 

Você pode aplicar a proteção e então tentar acessar a admin de algum site com um proxy INTERNACIONAL como o www.kproxy.com e verá que o acesso a admin será negada.

 

Abraços !

Ótimo, assim protege de uma forma geral. Eu coloco esse .htaccess então dentro do diretório /home do servidor, ou seja, acima dos diretórios das contas? Não pensei que arquivos como este teriam efeitos dentro desse diretório.

 

Então para confirmar, logo no SSH, dou o comando abaixo e crio o arquivo? rs

 

cd /home

 

Estou encabulado por ser no /home rsrsrs

Ótimo, assim protege de uma forma geral. Eu coloco esse .htaccess então dentro do diretório /home do servidor, ou seja, acima dos diretórios das contas? Não pensei que arquivos como este teriam efeitos dentro desse diretório.

 

Então para confirmar, logo no SSH, dou o comando abaixo e crio o arquivo? rs

 

cd /home

 

Estou encabulado por ser no /home rsrsrs

 

 

Isso, dentro da home. Isso terá efeito para todas contas ao mesmo tempo. Crie o arquivo e teste algum site com Wordpress acessando um proxy como o kproxy.com

 

Observe que no início do firewall ele bloqueia apenas 2 arquivos que são do Wordpress.

 

O que colocar dentro da home afeta todas contas do servidor.

 

Abraços.

Esse tutorial foi baseado na minha dica do htacess ? lembro de ter postado dizendo para bloquear determinadas pastas do servidor usando regras deny, já uso assim faz um tempo no whmcs, e em determinados sites wordpress. é bem prático e funcional. excelente dica no /home farei isso hoje mesmo, só temos que tomar cuidado para não bloquear o domínio de suporte ao cliente, caso contrário se o cara estiver viajando e precisar abrir um ticket, aí complica rs