[Atak botów, prośba o pomoc nie mogę wywołać 403]

<FilesMatch "xmlrpc.php">
    Require all denied
</FilesMatch>
<FilesMatch "wp-login.php">
    Require all denied
    Require ip XX.XXX.XXX.X
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_URI} !^/wp-login.php$ [NC]
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

 

@Mion Podawałem jak miałem, to mówisz, że nie ma mowy o żadnym przekierowaniu, ani pętli przekierowań? Bo ten wpis właśnie powodował taki efekt.
To jak zatem powinien wyglądać, bo to mi podawali wszyscy, włącznie z AI. To gdzie jest błąd? Po blokadzie wp-login jest dynamicznie dodawany przez WP wpis wzbogacony o wykluczanie wp-login, które nie działa. Też mi to ktoś podał, bo ja się nie znam na tyle.

[Atak botów, prośba o pomoc nie mogę wywołać 403]

Maiłem WPS Hide Login zanim to się zaczęło. Mój wp-login.php wywoływaływał 404. Tylko, że miałem po kilka połączeń na sekundę. Wejścia z całego świata. Na 100 ip praktycznie nie było powtórzeń. Tym samy zjadało mi transfer i zasoby serwera - hosting mi zablokował konto.

 

@Mion Blokowanie w htaccess z przepuszczeniem na swoje ip nie działało mi tak, żeby wywołać 403, tylko właśnie mod_rewrite z WP robił mi pętlę. Każda forma zablokowania w htaccess dostępu do tego pliku  powodowała pętlę przekierowań. Sprawdziłem to na czystym WP i było to samo. Obecny WP po prostu nie przewiduje tego. Dodatkowo kolejny problem robiły przekierowania na https, bo wywoływały 301. Chociaż to chyba powinno po kolej stosować reguły od góry do dołu. Tak robię to po omacku.

Ostatecznie pomógł mi AI - po długim wałkowaniu niedziałających w pożądany sposób (403) zapisów w   htaccess, zasugerował zrobienie blokady w functions.php i tak mi się udało wywołać w końcu 403. Tam też zrobiłem przekierowania na https.

 

To nie jest idealne, bo coś tam i tak zjada trasferu i zasobów, ale w htaccess mi się nie udało. Zrobiłem też Cloudflare. Dzisiaj w nocy odpuści. Mam nadzieję, że całkowicie a nie tymczasowo, bo intensywność rosła, więc jeszcze więcej połączeń na sekundę nadal by było problemem.

 

[Atak botów, prośba o pomoc nie mogę wywołać 403]

Podpiąłem pod cloudflare.

 

No ale cały czas napie...a mi ten wp-login.php

Zostaje mi zrobienie 403 dla wp-login, ale nie wychodzi to.

 

Jak usunę cały wpis z mod_rewrite czyli
```
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_URI} !^/wp-login.php$ [NC]
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

```
To pętla znika. Nie działają podstrony, ale wp-login.php wywala w końcu 403, tylko co mnie szczególnie dziwi w przeglądarce daje mi 403, a w logach serwera dalej leci 404.

RewriteCond %{REQUEST_URI} !^/wp-login.php$ [NC]

niestety też nie pomaga

Z kolei przekierowania https i powodują otwieranie strony domena.pl/403.shtml swoje storn błędu, a to jest też 404.

[Atak botów, prośba o pomoc nie mogę wywołać 403]

no to ja nie mam pojęcia jak to zrobić, to jest strona z małym ruchem, ale i tak jej szkoda. Muszę znaleźć jakieś rozwiązanie. Po co ktoś atakuję taką stronę?

[Atak botów, prośba o pomoc nie mogę wywołać 403]

W domenie hostingu? w sensie, że oni powinni mieć blokady, no niektóre mają, a ten widać nie ma i ma mnie gdzieś.

 

Powiedzieli, że przy takiej ilości to i Cloudflare nie pomoże, chyba że może jakaś wersja pro. Mogę spróbować wtyczkę do Worpdressa zainstalować.

[Atak botów, prośba o pomoc nie mogę wywołać 403]

W hostingu mi powiedzieli, że żeby zablokować wszystkie musiałbym zrobić olbrzymi htaccess i kazali przez to blokowanie wp-login.php ale to koliduje mi z tymi regułami.

 

1	30319	0.70%	15131	3.33%	104274	0.52%	1	0.00%	37.59.21.100
2	27984	0.65%	1379	0.30%	135564	0.67%	17	0.01%	91.134.248.249
3	27171	0.63%	18030	3.97%	131056	0.65%	1	0.00%	103.204.76.210
4	23147	0.54%	1402	0.31%	111106	0.55%	16	0.01%	91.134.248.235
5	18871	0.44%	1075	0.24%	93745	0.46%	24	0.02%	91.134.248.192
6	16426	0.38%	746	0.16%	112688	0.56%	28	0.02%	54.37.121.239
7	16407	0.38%	758	0.17%	79106	0.39%	25	0.02%	51.178.146.199
8	16328	0.38%	876	0.19%	79005	0.39%	24	0.02%	91.134.248.211
9	13623	0.32%	8536	1.88%	79299	0.39%	2	0.00%	64.124.8.177
10	13575	0.32%	984	0.22%	66321	0.33%	25	0.02%	116.202.98.178
11	13272	0.31%	8339	1.84%	81255	0.40%	3	0.00%	64.124.8.236
12	12976	0.30%	3	0.00%	62912	0.31%	18	0.01%	51.68.11.227
13	12865	0.30%	330	0.07%	59716	0.29%	32	0.02%	91.134.248.253
14	12490	0.29%	575	0.13%	57425	0.28%	39	0.03%	51.68.11.203
15	11038	0.26%	858	0.19%	53098	0.26%	44	0.03%	124.156.240.51
16	10820	0.25%	1035	0.23%	53409	0.26%	39	0.03%	217.15.163.10
17	10356	0.24%	687	0.15%	51945	0.26%	52	0.04%	41.193.5.58
18	9570	0.22%	781	0.17%	47173	0.23%	39	0.03%	14.225.7.211
19	9557	0.22%	9557	2.10%	38926	0.19%	14	0.01%	91.227.123.90
20	9468	0.22%	871	0.19%	47602	0.24%	32	0.02%	65.109.82.50
21	9339	0.22%	0	0.00%	44361	0.22%	46	0.03%	158.251.4.163
22	9289	0.22%	641	0.14%	42465	0.21%	43	0.03%	46.245.94.174
23	9143	0.21%	592	0.13%	42254	0.21%	38	0.03%	160.153.250.168
24	9140	0.21%	775	0.17%	42163	0.21%	51	0.04%	116.203.54.23
25	9075	0.21%	832	0.18%	41523	0.21%	42	0.03%	92.53.96.137
26	8896	0.21%	104	0.02%	41983	0.21%	38	0.03%	84.247.142.190
27	8881	0.21%	603	0.13%	42044	0.21%	44	0.03%	185.193.27.155
28	8740	0.20%	605	0.13%	40416	0.20%	39	0.03%	206.189.18.26
29	8732	0.20%	400	0.09%	42611	0.21%	48	0.03%	51.68.11.195
30	8709	0.20%	757	0.17%	43724	0.22%	24	0.02%	159.223.124.0

[Atak botów, prośba o pomoc nie mogę wywołać 403]

Już mi blokują konto na hostingu, a nie mogę wywołać 403 dla wp-login.php bo wpisy z wp w htaccess powodują pętlę i boty cały czas atakują.

Dodanie wyjątku nie pomaga.

 

 

<FilesMatch "xmlrpc.php">
    Require all denied
</FilesMatch>
<FilesMatch "wp-login.php">
    Require all denied
    Require ip XX.XXX.XXX.X
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_URI} !^/wp-login.php$ [NC]
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

 

 

A przekierowanie www i ssl, które w końcu udało mi się zrobić poprawnie to teraz dla zablokowanego wp-login.php wchodząc przez przekierowanie otwiera   https://www.domena/403.shtml a to jest błąd 404 a nie 403.

 

404 nie pomaga, boty atakują dalej.

 

RewriteEngine On
RewriteCond %{REQUEST_URI} !^/wp-login.php$ [NC]
RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} !^www\. [NC]
RewriteCond %{HTTP_HOST} ^(?:www\.)?(.+)$ [NC]
RewriteRule ^ https://www.%1%{REQUEST_URI} [L,NE,R=301]

Please Help, bo nie wiem już co robić.

[Wordpress Obrona przed atakiem. Pętla przekierowań wp-login.php]

Próbuję zablokować dostęp do wp-login.php ponieważ wtyczka Hide login, która w zasadzie wywoływała błąd 404 pod tym adresem z jakiegoś powodu nie pomogła. Boty nadal atakują mi wp-login.php Zużywają trasnfer i przeciążają serwer.

Zablokowałem przez deny from all w htacces, ale działa tak samo jak usunięcie lub zmiana nazwy pliku wp-login.php Mianowcie powstaje pętla przekierowań. Chyba jakieś reguły dodawane z w .htaccess lub inne przekierowania powodują ten problem.

Powodują taką pętle i zamiast 403 albo 404 wywołuje mi 302.

Czy możecie zerknąć mi do tego .httacces

 

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
<FilesMatch "wp-login.php">
Order Deny,Allow
deny from all
allow from XX.XXX.XXX.XXX
</FilesMatch>


RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} !^www\. [NC]
RewriteCond %{HTTP_HOST} ^(?:www\.)?(.+)$ [NC]
RewriteRule ^ https://www.%1%{REQUEST_URI} [L,NE,R=301]


Deny From 46.251.227.60
Deny From 62.87.249.67
Deny From 83.20.99.59
Deny From 83.241.11.192
Deny From 87.118.108.40
Deny From 87.118.114.82
Deny From 87.118.112.32
Deny From 87.118.118.133
Deny From 88.190.37.223
Deny From 91.201.66.84
Deny From 91.201.66.4
Deny From 91.201.66.90
Deny From 91.207.6.90
Deny From 91.224.160.6
Deny From 91.224.160.33
Deny From 91.226.32.72
Deny From 92.241.169.70
Deny From 92.241.169.78
Deny From 94.102.63.15
Deny From 94.229.65.176
Deny From 94.142.128.59
Deny From 96.47.225.
Deny From 96.47.224.
Deny From 109.230.216.20
Deny From 109.230.245.232
Deny From 173.44.37.
Deny From 188.92.75.229
Deny From 188.143.232.14
Deny From 192.76.82.75
Deny From 194.8.74.171
Deny From 194.8.74.220
Deny From 194.8.75.42
Deny From 194.8.75.54
Deny From 194.8.75.145
Deny From 194.8.75.151
Deny From 194.8.75.159
Deny From 194.8.75.161
Deny From 194.8.75.163
Deny From 194.165.42.49
Deny From 195.238.188.164
Deny From 199.15.233.
Deny From 199.15.234.
Allow From .ahrefs.com
Allow From .httpstatus.io
Allow From 167.99.129.42
SetEnvIfNoCase User-Agent .*Updownerbot.* bad_bot
SetEnvIfNoCase User-Agent .*spbot.* bad_bot
SetEnvIfNoCase User-Agent .*findlinks.* bad_bot
SetEnvIfNoCase User-Agent .*Twiceler.* bad_bot
SetEnvIfNoCase User-Agent .*Moreoverbot.* bad_bot
SetEnvIfNoCase User-Agent .*Nutch.* bad_bot
SetEnvIfNoCase User-Agent .*VoilaBot BETA 1.2.* bad_bot
SetEnvIfNoCase User-Agent .*libwww-perl/5.805.* bad_bot
SetEnvIfNoCase User-Agent .*Sogou web spider/3.0.* bad_bot
SetEnvIfNoCase User-Agent .*TurnitinBot.* bad_bot
SetEnvIfNoCase User-Agent .*psbot.* bad_bot
SetEnvIfNoCase User-Agent .*Ezooms.* bad_bot
SetEnvIfNoCase User-Agent .*Speedy Spider.* bad_bot
SetEnvIfNoCase User-Agent .*Exabot.* bad_bot
SetEnvIfNoCase User-Agent .*Charlotte/1.0b.* bad_bot
SetEnvIfNoCase User-Agent .*boitho.com-dc.* bad_bot
SetEnvIfNoCase User-Agent .*ajSitemap.* bad_bot
SetEnvIfNoCase User-Agent .*bot/1.0.* bad_bot
SetEnvIfNoCase User-Agent .*WebDataCentreBot/1.0.* bad_bot
SetEnvIfNoCase User-Agent .*Java.* bad_bot
SetEnvIfNoCase User-Agent .*SapphireWebCrawler.* bad_bot
SetEnvIfNoCase User-Agent .*Yandex.* bad_bot
SetEnvIfNoCase User-Agent .*Baiduspider.* bad_bot
SetEnvIfNoCase User-Agent .*Rankivabot.* bad_bot
SetEnvIfNoCase User-Agent .*DBLBot/1.0.* bad_bot
order allow,deny
deny from env=bad_bot
allow from all 





order allow,deny
deny from env=bad_bot
allow from all 

# BEGIN WordPress
# Dyrektywy zawarte między "BEGIN WordPress" oraz "END WordPress"
# są generowane dynamicznie i powinny być modyfikowane tylko za pomocą
# filtrów WordPressa. Zmiany dokonane bezpośrednio tutaj będą nadpisywane.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

<IfModule mod_expires.c>
ExpiresActive On
ExpiresByType image/jpg "access 1 year"
ExpiresByType image/jpeg "access 1 year"
ExpiresByType image/gif "access 1 year"
ExpiresByType image/png "access 1 year"
ExpiresByType text/css "access 1 month"
ExpiresByType text/html "access 1 month"
ExpiresByType application/pdf "access 1 month"
ExpiresByType text/x-javascript "access 1 month"
ExpiresByType application/x-shockwave-flash "access 1 month"
ExpiresByType image/x-icon "access 1 year"
ExpiresDefault "access 1 month"
</IfModule>

 

[[htaccess] jak ograniczyć łańcuch przekierowań www https]

One działa, tylko że niepotrzebnie robi taki łańcuch przekierowań.

Czyli powinienem wyłączyć te wymuszanie przekierowania przez serwer i zrobić w htaccess całość. O ile dla bez www jest sporo, to dla wersji z www większości jest rozbita osobno przekierowanie z bez www na www i z http na https

 

RewriteEngine on
RewriteCond %{HTTP_HOST} ^www.domena.pl [NC]
RewriteRule ^(.*)$ http://domena.pl/$1 [L,R=301]

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

 

-------------------------------------

 

To poniższe może będzie dobre??:

 

RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} !^www\. [NC]
RewriteCond %{HTTP_HOST} ^(?:www\.)?(.+)$ [NC]
RewriteRule ^ https://www.%1%{REQUEST_URI} [L,NE,R=301]

 

[[htaccess] jak ograniczyć łańcuch przekierowań www https]

Na http z www  coś tam wchodzi, na wersję http non-www chyba nie. No to oleję. To to tylko 3 przekierowania,  ale ogólnie chciałem wiedzieć jak to powinno być zrobione poprawnie dla WP, bo często mam z tym problem. Działa ale może nie do końca tak jak powinno.

[[htaccess] jak ograniczyć łańcuch przekierowań www https]

Mam to już zrobione na serwerze wymuszone w direct admin http na https. ale tego nie ma w htaccess

Ogólnie działa https://www.webbest.eu ale robi się łańcuch, a chciałem to uprościć.

 

 

jest jeszcze z Wordpresa zapis:

# BEGIN WordPress
# Dyrektywy zawarte między "BEGIN WordPress" oraz "END WordPress"
# są generowane dynamicznie i powinny być modyfikowane tylko za pomocą
# filtrów WordPressa. Zmiany dokonane bezpośrednio tutaj będą nadpisywane.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

 

 

Są też wtyczki do WP, ale one też dość komplikują.

 

 

Te perplexityi takie coś mi poda, czy to jest poprawne?

 

 

RewriteEngine On
RewriteCond %{HTTP_HOST} ^webbest\.eu [NC]
RewriteRule ^(.*)$ https://www.webbest.eu/$1 [R=301,L]

RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

 

Nie wiem, czy dobrze zapytałem.

Mówisz fora już nie są potrzebne, lepiej gadać z AI.

 

[[htaccess] jak ograniczyć łańcuch przekierowań www https]

Mam główną wersję z www i obecnie mam taki zapis w htaccess

 

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_HOST} ^domena.pl(.*) [NC]
RewriteRule ^(.*)$ https://www.domena.pl/$1 [R=301,L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

 

 

Tylko, że z wersji bez www robi mi taki trochę bezsensowny łańcuch

 

http://domena.pl -> https://domena.pl -> http://www.domena.pl -> https://www.domena.pl

 

[Domeny na jednym serwerze na Worpdress z wtyczką Cloudflare]

2 godziny temu, Mion napisał(a):

BTW W "dzisiejszych czasach"  takie pytania najlepiej zadawać do AI jak ChatGPT lub Preplexity lub Antropic

Nie omieszkam spróbować. Chociaż czasem nie mogę się dogadać z AI

[Domeny na jednym serwerze na Worpdress z wtyczką Cloudflare]

W dniu 30.11.2024 o 14:59, MaxPan napisał(a):

Nie rozumiem, dlaczego używa się wtyczki zamiast podłączenia Cloudflare w standardowy sposób: przez panel Cloudflare, zmianę DNS-ów i odpowiednią konfigurację. 

Bo nie wiem jak to zrobić. Wtyczka załatwiała wszystko sama. Myślałem, że ukrywa. No poszperam, poszukam.

[Domeny na jednym serwerze na Worpdress z wtyczką Cloudflare]

No być może nie. Jak sprawdzam ip serwera w jakichś narzędziach typu check host to pokazuje ip z cloudflare

[Domeny na jednym serwerze na Worpdress z wtyczką Cloudflare]

Czy zastosowanie wtyczki Cloudflare z Worpdress ukryje, że domena jest na tym samy serwerze co druga linkowana?

[blokowanie indeksowania parametrów url po "?"]

Nie no może nie podam. Zasugerowałem zastosowanie Canonicala i ewentualnie blokowanie indeksowania w robots, lub po url w meta noindex

[blokowanie indeksowania parametrów url po "?"]

No dość ciężko by było, bo jedziemy na ich skrypcie, ale jest to lipa. Zasugeruję.

[blokowanie indeksowania parametrów url po "?"]

Powrócił mi problem parametrem dodawanym przez G.Ads. Znowu wywoływał błąd 404. Firma informatyczna zrobiła poprawkę, ale znowu zrobili tylko łatkę,  na to co ja im podsyłam. 

Kazałem im zrobić tak żeby przepuszczało wszystkie parametry, ale usłyszałem, że to zły pomysł, bo się będą tworzyć zduplikowane podstrony w Google.
Google - w sensie wyszukiwarki - chyba radzi sobie już  z takim czymś? Ewentualnie można je zablokować chyba w robots.txt.

 

Nie pamiętam już teraz dokładnie, ale tak mi się kojarzy, że to kiedyś był problem na przykład przy skryptach bez mod rewrite, ale teraz chyba już nie jest?

 

 

User-agent: *
Disallow: /*?*

(jak to zapisać?) w robots.txt?

 

albo może w php - jeśli url zawiera "?" echo

<meta name="robots" content="noindex" />

 

Czy szukać jakichś innych rozwiązań, żeby problem się nie powtórzył?

 

[Program do analizowania cen konkurencji]

a co o tym myślisz, działa ok? Warto, nie warto?

[Program do analizowania cen konkurencji]

Podobno jest jakiś program analizujący ceny konkurencji. Ktoś zna jakiś, możecie coś polecić?

[Analiza konkurencji w reklamach]

Da się jakoś sprawdzić budżety konkurencji w reklamach? Chodzi mi za równo o Google jak i Meta.

[Parametr url - link z reklamy wywołuje 404, a opcje adresu url w reklamie są puste]

Dzięki właśnie już dzwoniłem.

[Parametr url - link z reklamy wywołuje 404, a opcje adresu url w reklamie są puste]

Po kliknięciu w reklamę strony głównej otwiera mi się taki adres  i nie wiem skąd dodaje się ten parametr.

domena.pl/?gad_source=1&gclid=EAIaIQobChMIsO_2wLqZhwMVRI1oCR2UDAYTEAMYAyAAEgLQ-vD_BwE

 

Wywołuje błąd 404.

 

Sprawdzam opcje adresu url w reklamie, ale nic tam nie jest wprowadzone.

[Nadchodzi kolejny update algorytmu? Coś drgnęło w serpach? Google coś miesza? Przetasowania w TOPach?]

Ja tam widzę wszędzie Allegro, jakby pół internetu to było Allegro. W ogóle wyniki wyszukiwarki są coraz częściej bardzo podzielone i zepchnięte przez Adsy, sekcje produktowe, wszystkie obrazki, podobne pytania i inne dodatki. To już nie jest wyszukiwarka. Wyniki naturalne zajmują jakiś mały kawałek strony i są najmniej widoczne.

Youtuba się nie da oglądać w wersji darmowej, bo co dwie minuty ekstremalnie irytująca reklama w koło ta sama. Świetny sposób na zniechęcenie do swojego produktu. This is Google.