Прячем, защищаем админку

gray, попробуй на http://www.aviakis.net.ru/admin залогиниться, хотя там .htaccess не стоит. Хотя поставить нетрудно)))

feba7, 8)))), а почему 3 окна?

gray, попробуй догадайся))))) ты не знаешь, следовательно, тот, кто пытается войти, тоже не знает. Знает только тот, кто себе мой скрипт поставит - инструкция прилагается)))

feba7, ну скажи плз, ну зачем мне ставить какие то скрипты, если бросил куда надо файлик и забыл о проблемах? 8)

gray, конечно-конечно. особенно если заходят с заменой ip. обычно это первое, что делают, потому что трюк с htaccess все знают.

feba7 писал(а):

особенно если заходят с заменой ip

зайди))) ты сначала вычисли ip который подменять))))
Ip адрес дать?))))

feba7 писал(а):

особенно если заходят с заменой ip. обычно это первое, что делают, потому что трюк с htaccess все знают.

Есть такая штука - маршрутизацией называется, еслиб все так просто было. 8)
Задолбить запросами еще можно, но ответ прийдет только ипу закрепленному за определенным маршрутизатором и дропнется на фаере.

fuze[drums писал(а):

]ты сначала вычисли ip который подменять))))

ну если только зайдя по ссылке фебы не светануть его 8))))))) Ну а толку то.

gray писал(а):

ну если только зайдя по ссылке фебы не светануть его 8))))))) Ну а толку то.

ну зайду по ссылке, ну светанется мой ip и что?)))
а он ли в htaccess прописан?)))
плюс пусть попробует подменить.
Любой уважающий себя провайдер не пропускает от клиентов трафик с чужими src-адресами.
Если провайдер себя не уважает, то такой трафик порежет его аплинк-магистральщик.
Плюс сам linux отвергнет такие пакеты.

Чёт я не понял о чем спор.
Какой метод защиты лучше?
Так тут нет правильного ответа.
Условия то у всех разные.
Кто-то держит сайт на домашнем сервере, кто-то у хостера, а кто-то в локалке.
У кого-то статичный ip и у кого-то нет. Ну и тд.

fuze[drums], gray не доводите до абсурда. Само собой, в админку заходит максимум два-три человека, их вполне можно в htaccess прописать. А что вы с основным сайтом сделаете? Тоже для трех айпишников откроете? В любом случае защита должна быть комплексной.

feba7, ну мы типа по сабжу высказались. А вот как спрятать сайт ото всех - поонятия не имею 8))

На самом деле контрацепция дело каждого. Варианты тут даны. В сети море по этому вопросу.
Абсолютной защиты нет и тем более в кмс.
Не оставляйте свои пароли в разных клиентах FTP, чистите комп, делайте полный бекап файлов и дамп базы, читайте логи апача.

garry, золотые слова - абсолютной защиты нет.

Тем не менее, любой школьник, которому вчера купили комп, мнит себя крутым хакером, скачав с хакерсого сайта брутфорс и ломая им сайты - просто потому что ломать не строить. Вот от таких поставить элементарную защиту стоит. Лезгинке так сайт и сломали.

Я не против защиты, как раз только за. Но в этом топике даны варианты доступные на данный момент.
Вы же понимаете, при пристальном взгляде на систему(любую), либо сервер, можно обойти любую защиту админки, точнее не понадобится туда заходить. По этому спор лучше хуже и как работает думается не в тему. Главное работает и не пустит школьника.

Считаю бекап и логи основным для большинства пользователей кмс. А серьёзные большие проекты в любом случаи заказывают уже под себя с анализом и тд.

feba7 писал(а):

Вот от таких поставить элементарную защиту стоит.

Защита должна быть встроена в саму CMS. Пока же ее нет никакой. Ждемс.

garry писал(а):

Считаю бекап и логи основным для большинства пользователей кмс.

Когда у нас в Днепре на площадке одного местного хостера СБУ изъяли все серверы, gorod.dp.ua несколько дней не работал. Были бекапы, но, все они лежали на соседнем сервере, который тож был конфискован. Эт так, к слову о многогранности нашего бытия.