30 ответ(ов) в теме
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
1
21:23
Версия WP-Recall: 16.19.2

Приветствую.
Устал я с гугло капчей бороться, то сайт тормозит, то половину ботов не сечет.
Начал собирать доп и уже тестирую, конечно не готов пока, мыслей много, время мало)
Справляется с задачей, пока даже гугло капчу отключил. Но этот доп, скорее как усилитель защиты.
Суть его простая, невидимое поле, на js скрываемое и в форму регистрации, с убедительным названием. В плане сделать ротацию названий.
Дальше всех кто его заполнил и получил пинок, в лог файл. Записывается дата, время и ip.
Лог хранится /wp-recall/logs. создается при первой попытке входа, удаляется при деактивации, чистится из настроек.
В общем есть планы еще развить его, но оставить именно под регистрацию.
Встал вопрос где вывести логи, что бы постоянно не лазить для работы с ними. Сейчас в настройках выводятся, мне удобно, скопировал, отсортировал и в бан ботов.
Может есть идеи куда пристроить такое кроме настроек?
Скрин

Вы не можете просматривать опубликованные ссылки
Редакции сообщения
06.08.2020 21:24garryПричина: не указано
0
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
2
06:08

Буду в этой теме выкладывать что получилось и что нет...вопрос, сбор идей, так как хочется и просто, и боле менее успешно бороться 😉
Теперь в логах выводится и город и страна по api сервиса:
Скрин:

Вы не можете просматривать опубликованные ссылки

Пока не знаю что будет с логами может появится возможность сразу банить и сортировать.
Но сначала решу вопрос с проксями и vpn что бы не только последняя точка отдавалась.
Куда выводить им как логи пока так и не придумал что бы проще было работать хотя может и так оставить))

Редакции сообщения
07.08.2020 06:10garryПричина: не указано
07.08.2020 06:11garryПричина: не указано
07.08.2020 06:44garryПричина: не указано
07.08.2020 06:44garryПричина: не указано
0
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
3
07:04

У Владимира (Otshelnik-Fm), есть великолепное и уникальное решение по добавлению гугло капчи, которое не тормозит загрузку сайта. Если он добавит его допом, как будет время, то получится очень серьезная защита и без тормозов. А тормоза очень существенные по reCAPTCHA в дефолте (Page Speed Insights).
Владимир, видишь какой тонкий намек на новый доп от тебя 😉
Суть в том, что отложенная загрузка скриптов reCAPTCHA, будет компенсироваться скрытым полем.

Редакции сообщения
07.08.2020 07:37garryПричина: не указано
0
Владимир (Otshelnik-Fm)
не в сети 19 минут
На сайте с 27.01.2013
Модератор
Тем 30
Сообщения 17624
4
09:16

Привет Игорь.

Мне кажется неблагодарное дело глазами и руками анализировать и банить.
Мне в частых атаках limit login attempts спасает, в пустых регах гуглокапча. Да - она пропускает ботов и они регаются. Но никакую активность не несут.
Так что я не парюсь об этом. Потом просто по неактивности выборку делаешь и этих юзеров удаляешь. Но я даже так еще не делал.

Мне кажется если серьезно атакуют - то стоит выбрать решение от сообщества вордпресс - wp security, wp cerber (акисмет или модуль к жутьпаку даже) и т.д. те что проверены годами.
Можно fail2ban на сервере поднять - автоматом будет по логам смотреть и банить по правилам - временно или навсегда.

А разбирать логи вручную... Разве в век ИИ (AI) и машинного обучения (ML) так делают?

Про отложенную гуглокапчу - я не сделал доп и в KWPL не выкатил это обновление, хотя оно готово - потому что предполагаю что будут от этого только проблемы. На моем сайте разработчика я это могу использовать. Но 100% в нем я не уверен.
Вообще сейчас капча 3.0 от гугла - невидимая - она по алгоритмам определяет что ты человек - вот за ней будущее. Думаю что стоит использовать ее. Ну или подцепить апи какого нибудь сервиса и туда мейл и ip отправлять - он тебе скажет - это бот или человек.

1
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
5
09:50

Насчет плагинов, да cerber крут бесспорно, но слишком для меня много лишнего и напрягает он сервер. Конечно, для чего-то серьезного уже надо выше wp использовать защиту.
Насчет логов, скорее всего будет оценка по сервису внешнему, и там уже решение какое-то о дальнейшем. Но осторожно, те же плагины безопасности, с легкостью банят ботов яндекса, рамблера, майла... Пока мне просто интересно их просматривать))
Капча 3.0, к сожалению и она уже обходится в автоматическом режиме, куча инфы по ней. Да и не думаю, что появится что-то, что будет 100 процентов защищать, я про капчи.
В общем, буду пока развивать и собирать инфу, и посмотрю, что выйдет 🙂

Редакции сообщения
07.08.2020 09:53garryПричина: не указано
0
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
6
11:22

Сейчас прикручивая проверку ip по сервисам и спам базам, столкнулся с тем, что они легко могут банить и ip простых пользователей, так как с них сидят и спамеры))
В общем автоматический бан, штука вредная. Лучше пока буду помечать спамные ипы.

За три дня, ни одного бота не зарегистрировалось, а так по 5-20 в день было))

Редакции сообщения
07.08.2020 11:24garryПричина: не указано
07.08.2020 11:24garryПричина: не указано
0
Vadim
не в сети 1 час
На сайте с 09.02.2015
Участник
Тем 48
Сообщения 205
7
11:52

Игорь, добрый день!
Раньше я пользовался Cerber-ом. Но потом он стал просто моструозным. Перепробовал, пожалуй, все плагины в репозитории. Остановился на плагине

Вы не можете просматривать опубликованные ссылки

Никаких спам-регистраций, спама в комментариях нет. Еще и от брутфорса защищает.

1
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
8
11:58

Vadim, да, к сожалению Cerber стал просто мего неудобным и пожирающим ресурсы, вы правы.
На WPBruiser взгляну, спасибо. У меня есть в планах подумать над чем-то по поводу всего комплекса регистрации и входа, но пока хочу именно очень просто и главное легко.

1
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
9
12:19

Сейчас автоматически не дает зарегистрироваться ботам, собирает ip и помечает те, что уже есть в базах spamhaus)
Теперь дело за использованием логов. Можно автоматически отсортировать и наиболее наглых отправлять в бан или в редирект или формировать блок для бана и уже на усмотрение админа...

0
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
10
14:36

Из полезного, бот стукнулся больше сотни раз уже и я бы его сегодня точно не заметил, а может к вечеру уже была бы не одна тысяча раз и в итоге нагрузка выросла бы)
скрин

Вы не можете просматривать опубликованные ссылки
0
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
11
18:28

Нашлось время 🙂
Теперь можно писать правило сразу в .htaccess, делается копия предыдущей версии htaccess и работает на функции wp insert_with_markers, поэтому без ошибок и проблем.
На очереди использование пометок спам базы и...в общем как время будет))
Кстати, посмотрел разные плагины защиты, они автоматом редирект устраивают или запрещают доступ ботам спамерам...но блин на уровне движка и в итоге получаем нагрузку от всего этого, а не уменьшаем.
Поэтому htaccess идеален.
Скрин

Вы не можете просматривать опубликованные ссылки

Вы не можете просматривать опубликованные ссылки
Редакции сообщения
08.08.2020 18:30garryПричина: не указано
0
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
12
21:13

Продолжаю монолог))
Благодаря обалденному сниппету Владимира (еще раз спасибо), можно делать со страницей опций, все, что угодно. Например, сделать по веселее:
Скрин:

Вы не можете просматривать опубликованные ссылки

Конечно и бесспорно, спасибо Андрею, за шикарный плагин, я даже не знаю, что нельзя в нем реализовать))

Есть моент, который еще не решал, но...
Хотелось бы запускать функцию по клику на кнопку или по штатному сохранению. Я про запись в файл, пока просто по перезагрузке страницы запускается. Не знаю к чему прицепится, точнее еще даже не смотрел толком, так как на js все без перезагрузки страницы, в смысле сохранение.

Редакции сообщения
08.08.2020 21:14garryПричина: не указано
0
Владимир (Otshelnik-Fm)
не в сети 19 минут
На сайте с 27.01.2013
Модератор
Тем 30
Сообщения 17624
13
18:35

garry сказал(а)
Благодаря обалденному сниппету Владимира

а что за сниппет?

p.s. - а если страница настроек будет большая - может ее сделать отдельной страницей? Ну как страница настроек вордпресс или дочерняя через add_options_page. Там места больше - есть где развернуться на всю ширину

garry сказал(а)
Хотелось бы запускать функцию по клику на кнопку или по штатному сохранению.

Вот при сохранении настроек реколл - фрагмент из допа Prime Statistics:

// при сохранении опций в админке - сбросим кеш
add_action( 'admin_init', 'my_p_reset_cache' );
function my_p_reset_cache() {
    // проверим права юзера, и запрос - это должен быть запрос обновления настроек
    if ( current_user_can( 'manage_options' ) && isset( $_POST['action'] ) && $_POST['action'] == 'rcl_update_options' ) {
        // do it!
    }
}

1
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
14
18:47

Спасибо за фрагмент, обязательно использую.
Сниппет:

$chr_page = get_current_screen();
    if ( $chr_page->parent_base != 'manage-wprecall' )
        return;

Да, если все из задуманного реализую, то переедет доп отдельным пунктом в меню wp, "разгуляюсь"))

1
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
15
14:34

Парни, если будет возможность, посмотрите время логов, похоже они пишутся не по времени сайта.
Я про штатный лог плагина, у меня на три часа отставание, пишутся по GMT.

1
Preci
не в сети 28 минут
На сайте с 11.11.2014
Участник
Тем 66
Сообщения 1013
16
14:50

Какие логи?

Если те что в recall то да, они пишутся по времени в php

Что бы по времени что в wordpress писались надо тут

Вы не можете просматривать опубликованные ссылки

Заменить date на current_time

2
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
17
15:00

Preci сказал(а)
Какие логи?

Если те что в recall то да, они пишутся по времени в php

Что бы по времени что в wordpress писались надо тут

Вы не можете просматривать опубликованные ссылки

Заменить date на current_time

Ага, я так и сделал у себя, просто думал есть какой-то еще глубокий смысл в этом) Спасибо!

0
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
18
17:50

Добавил еще одну защиту, тоже не самую простую для ботов, но ничего не нагружающую, теперь можно две использовать сразу)
Давно у меня код чартика лежал и все незнал куда его приспособить и теперь он будет в этом допе работать.
Ротация логов по дням.
Скрин, тестовый вариант и логи пустые на чарте

Вы не можете просматривать опубликованные ссылки

Пока боты не пробили ни разу, только ошибку получают и в логи пишутся.

Редакции сообщения
11.08.2020 17:52garryПричина: не указано
0
Preci
не в сети 28 минут
На сайте с 11.11.2014
Участник
Тем 66
Сообщения 1013
19
18:19

Если честно я не понимаю для чего все эти заморочки. Разве что для практики написания кода, не более.

Я когда то то же хотел вести логи и отслеживать всех ботов, но потом понял что это пустая трата времени. Посмотришь на эту статистику день, два и забудешь.

У меня запрещена регистрация через WP и стоит каптча от гугла, все, никаких авторегов нет. Раз в неделю проскакивает спамер, который добавит на утверждение рекламную запись или комментарий - это максимум. Никаких проблем с тормозами сайта из-за гугло капчи не было никогда.

Если же тут про ботов которые просто ходят по сайту - опять же, настраивайте сервер, включайте кеш и пусть ходят сколько им надо.

Ну и самое главное - IPv6 - это 340 ундециллионов адресов. (Это число 340, за которым следует 36 нолей.)

0
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
20
18:34

Про тормоза от гугло капчи, если подключена всплывающая форма или через шоткод, в общем на сайте, то она реально показатели снижает по Page Speed Insights, так что смысл ее не использовать есть.
Поэтому и доп, который заменяет капчу)
Насчет логов, конечно нет смысла все, что там есть использовать.
Но так как некоторые боты ломятся по 1000+ раз, вот их айпи уже и обрабатывать. Позже сделаю автоматический бан гадов, в общем посмотрю. Буквально три дня назад, 356к раз стукнуи, таких сразу в бан.
Логи это не самая важная часть в допе, основное, это не дать им пройти без гугло капчи.
Упор допа не на логи, они вторичны, а на не пропуск ботов.

Редакции сообщения
11.08.2020 18:35garryПричина: не указано
11.08.2020 18:42garryПричина: не указано
11.08.2020 18:48garryПричина: не указано
0
Preci
не в сети 28 минут
На сайте с 11.11.2014
Участник
Тем 66
Сообщения 1013
21
18:52

Буквально три дня назад, 356к раз стукнуи, таких сразу в бан.

Куда стукнули?

И на каждый из 350к запросов идет запрос на сервис который отвечает спамер ли это?

0
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
22
18:59

Вот таких после 5-10 попыток регистрации будет банить и уже никаких запросов никуда.
Насчет сервисов, я вообще думаю не использовать, бессмысленно по большому счету, да и лишний гемор с обрубанием оопять же запросов при нагрузке...
Вот этот момент с определением локации и наличия айпишки в базах, я сделал скорее из любопытства личного не более))

А стукнули...попытка зарегистрироваться, спам бот, точнее три айпишки ботов.

Редакции сообщения
11.08.2020 19:00garryПричина: не указано
11.08.2020 19:01garryПричина: не указано
0
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
23
19:13

Собственно, как делают плагины ограничивающие попытки входа, кстати, может так и сделаю еще и для входа, для полного комплекта)

Редакции сообщения
11.08.2020 19:14garryПричина: не указано
0
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
24
11:27

Всем привет.
Возникли вопросы.
Действие выполняется один раз в сутки текущие или за 24 часа с момента его создания?

add_action('rcl_cron_daily','бла_бла');
function бла_бла(){
	// что-то
}

Выше и этот вариант равнозначен?
add_action('rcl_cron_daily_schedule','бла_бла',10);

Надо ли при деактивации допа, удалять как-то задание крона?

Редакции сообщения
02.09.2020 11:28garryПричина: не указано
02.09.2020 11:29garryПричина: не указано
02.09.2020 11:42garryПричина: не указано
0
Владимир (Otshelnik-Fm)
не в сети 19 минут
На сайте с 27.01.2013
Модератор
Тем 30
Сообщения 17624
25
11:50

rcl_cron_daily_schedule выполняется раз в сутки, но с момента его регистрации начинается его отсчет (собственно как и любого другого отрезка ВП крона). Например это у меня в 22:12

Может проще серверный крон натравить на свой файл - и тогда выполнение будет точным. Но это только если решение для себя. Для джругих - замучаешься каждому объяснять как настроить и куда тыкнуть и что вписать

1
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
26
11:53

Владимир, спасибо, все теперь встает на свои места)

Про деактивация и задание крона, остался вопрос для понимания, не зависнет оно?

Редакции сообщения
02.09.2020 11:53garryПричина: не указано
02.09.2020 11:54garryПричина: не указано
0
Владимир (Otshelnik-Fm)
не в сети 19 минут
На сайте с 27.01.2013
Модератор
Тем 30
Сообщения 17624
27
12:02

Я честно говоря никогда таким вопросом не озадачивался. Он где-то фоном когда-то работает да и ладно.

Единственно где он мне нужен был более менее точно это в генерации днейрождений - чтоб именинников не пропустить и поздравить успеть их в новом дне. Там я делал банально - вешал функцию на часовой крон и там проверял - есть ли уже 00 часов. Если нет - сразу return - т.е. никакой нагрузки функция не несла, кроме часа 00 - тогда и запускал формирование файла с именинниками.
Понятно что погрешность у такой системы зависит от времени часового крона - на моем сайте это 11 минута, на кодеселлере 15 минута (тогда именно и обновляется доп в карточке товара)

0
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
28
12:06

Владимир, понял тебя. про крон.
Просто я тут у камы прочитал, что надо обязательно удалять задания крон после деактивации плагинов. Иначе в итоге они приводят к проблемам. Вот и подумал, что есть что-то при деактивации допа.

0
Владимир (Otshelnik-Fm)
не в сети 19 минут
На сайте с 27.01.2013
Модератор
Тем 30
Сообщения 17624
29
12:28

а какого промежутка крон события тебе в реколл не хватает? мне вроде всегда его 3х крон событий хватало

0
garry
не в сети 49 минут
На сайте с 04.01.2014
Участник
Тем 125
Сообщения 2454
30
12:30

Владимир (Otshelnik-Fm) сказал(а)
а какого промежутка крон события тебе в реколл не хватает? мне вроде всегда его 3х крон событий хватало

Сейчас уже все ок, я рассмотрел ежедневное и все подходит. Просто были мысли разные, но я их откинул))

0
Вы не имеете права на публикацию сообщений в этой теме