Главная Wp-Recall WP-Recall: Проблемы и решения Пост публикуется без модерации
29 ответ(ов) в теме
nataliya.sergeevna
не в сети 4 дня
На сайте с 03.04.2018
Участник
Тем 3
Сообщения 25
1
00:22

Версия WP-Recall: 16.13.1

Какой-то иностранный спамер зарегистриновался на моем сайте и опубликовал свою спамную статью без модерации. Это при том, что у меня в настройках плагина wp-recall стоит премодерация публикаций.
Как он обошел модерацию админа?

Редакции сообщения
10.04.2018 00:28nataliya.sergeevnaПричина: не указано
0
Otshelnik-Fm
не в сети 12 минут
На сайте с 27.01.2013
Модератор
Тем 22
Сообщения 10330
2
00:29

Давайте подробности.
- Что за спамер - его метрики?
Как регался?
какая рега у вас стоит?
какие права на публикацию?
На момент его реги и публикации - выписку из логов давайте - это важно.

Спамер мог запись оставить через что угодно - и не сам WP-Recall. например через удаленную публикацию - на основе того же rest api или других ВП инструментов из ядра. Откуда такая уверенность?

0
nataliya.sergeevna
не в сети 4 дня
На сайте с 03.04.2018
Участник
Тем 3
Сообщения 25
3
00:46

Wordpress настройки: Членство: Любой может зарегистрироваться, Роль нового пользователя: Автор.
В настройках публикации плагина wp-recall стоит: Публикация разрешена: Авторам и старше, Модерация публикаций: отправить на модерацию.

Что такое метрики? Как узнать как зарегистрировался?
Мне на е-мейл пришло оповещение что зарегистрирован новый пользователь: Имя пользователя: zacharyoxenham5 E-mail: norachoe@yahoo.com А сегодня захожу на сайт и у меня там статья висит опубликованная не иностранном языке и с внешними ссылками.

По поводу последнего: "Спамер мог запись оставить через что угодно - и не сам WP-Recall. например через удаленную публикацию - на основе того же rest api или других ВП инструментов из ядра. Откуда такая уверенность?"
Я вообще не представляю, как оставил запись спамер, возможно и не через WP-Recall. Я не программист и не разбираюсь в этом, поэтому и попросила помощи.

Редакции сообщения
10.04.2018 00:46nataliya.sergeevnaПричина: не указано
10.04.2018 00:47nataliya.sergeevnaПричина: не указано
0
nataliya.sergeevna
не в сети 4 дня
На сайте с 03.04.2018
Участник
Тем 3
Сообщения 25
4
00:50

На момент его реги и публикации - выписку из логов давайте - это важно.

Где взять выписку из логов? Куда надо лезть?

0
Otshelnik-Fm
не в сети 12 минут
На сайте с 27.01.2013
Модератор
Тем 22
Сообщения 10330
5
00:50

nataliya.sergeevna сказал(а)
Что такое метрики? Как узнать как зарегистрировался?

например - в 10.05 произошла регистрация - смотрим в access.log сервера на это время какие записи.
в 11.05. была публикация - смотрим в access.log на это время какие записи.

только так можно примерно составить картину. Но не факт.
еще варианты останутся. Но начать надо с малого

0
nataliya.sergeevna
не в сети 4 дня
На сайте с 03.04.2018
Участник
Тем 3
Сообщения 25
6
00:56

Вот логи на 2018-04-09 логи
По емейл спамер зарегистрировался вчера, 5:17

0
nataliya.sergeevna
не в сети 4 дня
На сайте с 03.04.2018
Участник
Тем 3
Сообщения 25
7
00:58

Я вообще те логи скидываю или нет?

0
nataliya.sergeevna
не в сети 4 дня
На сайте с 03.04.2018
Участник
Тем 3
Сообщения 25
8
01:14

В базе данных посмотрела, он зарегистрировался 2018-04-09 02:16:49

А вот пост его я удалила.

Редакции сообщения
10.04.2018 01:18nataliya.sergeevnaПричина: не указано
0
Андрей CS
На сайте с 30.11.-0001
Администратор
Тем 71
Сообщения 9452
9
07:48

если в форме публикации плагина выставлена модерация, то опубликовать без модерации вряд ли выйдет, скорее всего, публикация прошла через что то другое в обход плагина.
логи не те, нужны логи доступа, которые ведутся на сервере, но если они отключены значит их нет.

0
nataliya.sergeevna
не в сети 4 дня
На сайте с 03.04.2018
Участник
Тем 3
Сообщения 25
10
08:29

Андрей CS сказал(а)
если в форме публикации плагина выставлена модерация, то опубликовать без модерации вряд ли выйдет, скорее всего, публикация прошла через что то другое в обход плагина.
логи не те, нужны логи доступа, которые ведутся на сервере, но если они отключены значит их нет.

Это печально, что плагин можно обойти.
Не подскажете, где именно искать логи на сервере?

0
Андрей CS
На сайте с 30.11.-0001
Администратор
Тем 71
Сообщения 9452
11
08:45

nataliya.sergeevna сказал(а)
Это печально, что плагин можно обойти

На вашем сайте может существовать множество дыр, которые могут быть использованы для публикации, это вы должны понимать всегда.
На этом сайте используется форма публикации от wp-recall и ни разу не произошло неконтролируемой публикации.
Точное местоположение логов на вашем сервере вы можете уточнить в техподдержке вашего хостинга.

0
nataliya.sergeevna
не в сети 4 дня
На сайте с 03.04.2018
Участник
Тем 3
Сообщения 25
12
09:06

Нашла логи. Вот кусок на время регистрации спамера.

2a00:ab00:203:b::8 - - [09/Apr/2018:05:16:40 +0300] "POST /wp-cron.php?doing_wp_cron=1523240200.2605190277099609375000 HTTP/1.1" 200 - "http://igrango.ru/wp-cron.php?doing_wp_cron=1523240200.2605190277099609375000" "WordPress/4.9.4; http://igrango.ru"
94.68.10.80 - - [09/Apr/2018:05:16:36 +0300] "GET / HTTP/1.1" 200 84220 "http://igrango.ru/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"
94.68.10.80 - - [09/Apr/2018:05:16:41 +0300] "GET /wp-login.php?action=lostpassword HTTP/1.1" 200 3340 "http://igrango.ru/wp-login.php?action=lostpassword" "Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.17"
94.68.10.80 - - [09/Apr/2018:05:16:41 +0300] "GET /wp-login.php?action=register HTTP/1.1" 200 3723 "http://igrango.ru/wp-login.php?action=lostpassword" "Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.17"
94.68.10.80 - - [09/Apr/2018:05:16:48 +0300] "POST /wp-login.php?action=register HTTP/1.1" 302 - "http://igrango.ru/wp-login.php?action=register" "Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.17"
94.68.10.80 - - [09/Apr/2018:05:16:50 +0300] "GET /wp-login.php?checkemail=registered HTTP/1.1" 200 3741 "http://igrango.ru/wp-login.php?action=register" "Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.17"
2a03:2880:1020:6fe5:face:b00c:0:8000 - - [09/Apr/2018:05:51:59 +0300] "GET /wp-content/uploads/2018/03/igra-kendi-krash.png HTTP/1.1" 200 49061 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
2a03:2880:1011:1fe7:face:b00c:0:8000 - - [09/Apr/2018:05:51:59 +0300] "GET /wp-content/uploads/2018/03/vyzhit-sredi-zombi-2-isxod.jpg HTTP/1.1" 200 22701 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
2a00:ab00:203:b::8 - - [09/Apr/2018:06:39:26 +0300] "POST /wp-cron.php?doing_wp_cron=1523245166.6485919952392578125000 HTTP/1.1" 200 - "http://igrango.ru/wp-cron.php?doing_wp_cron=1523245166.6485919952392578125000" "WordPress/4.9.4; http://igrango.ru"
94.68.10.80 - - [09/Apr/2018:06:39:23 +0300] "GET /wp-login.php?checkemail=registered HTTP/1.1" 200 3741 "http://igrango.ru/wp-login.php?checkemail=registered" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"
94.68.10.80 - - [09/Apr/2018:06:39:28 +0300] "GET /wp-login.php HTTP/1.1" 200 3565 "http://igrango.ru/" "Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.17"
94.68.10.80 - - [09/Apr/2018:06:39:29 +0300] "POST /wp-login.php HTTP/1.1" 302 - "http://igrango.ru/wp-login.php" "Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.17"
94.68.10.80 - - [09/Apr/2018:06:39:30 +0300] "GET /wp-admin/ HTTP/1.1" 302 - "http://igrango.ru/wp-login.php" "Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.17"
94.68.10.80 - - [09/Apr/2018:06:39:30 +0300] "GET / HTTP/1.1" 200 80965 "http://igrango.ru/wp-admin/" "Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.17"
94.68.10.80 - - [09/Apr/2018:06:39:31 +0300] "GET /xmlrpc.php HTTP/1.1" 405 42 "http://igrango.ru/" "Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.17"
94.68.10.80 - - [09/Apr/2018:06:39:32 +0300] "POST /xmlrpc.php HTTP/1.1" 200 179 "http://igrango.ru/xmlrpc.php" "Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.17"
94.68.10.80 - - [09/Apr/2018:06:39:33 +0300] "GET /?p=1520 HTTP/1.1" 301 - "-" "Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.17"
94.68.10.80 - - [09/Apr/2018:06:39:34 +0300] "GET /%ce%b1%ce%b8%ce%ae%ce%bd%ce%b1-%cf%84%cf%81%ce%bf%cf%87%ce%b1%ce%af%ce%bf-%cf%84%cf%81%ce%bf%cf%87%ce%b1%ce%af%ce%bf-%ce%b3%cf%81%ce%b1%cf%86%ce%b5%ce%af%ce%b1-%ce%bd%cf%84%ce%b5%cf%84%ce%ad%ce%ba/ HTTP/1.1" 200 65199 "http://igrango.ru/?p=1520" "Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.17"
94.68.10.80 - - [09/Apr/2018:06:39:35 +0300] "GET /%CE%B1%CE%B8%CE%AE%CE%BD%CE%B1-%CF%84%CF%81%CE%BF%CF%87%CE%B1%CE%AF%CE%BF-%CF%84%CF%81%CE%BF%CF%87%CE%B1%CE%AF%CE%BF-%CE%B3%CF%81%CE%B1%CF%86%CE%B5%CE%AF%CE%B1-%CE%BD%CF%84%CE%B5%CF%84%CE%AD%CE%BA/ HTTP/1.1" 200 65199 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"
198.143.164.51 - - [09/Apr/2018:06:39:37 +0300] "GET /%CE%B1%CE%B8%CE%AE%CE%BD%CE%B1-%CF%84%CF%81%CE%BF%CF%87%CE%B1%CE%AF%CE%BF-%CF%84%CF%81%CE%BF%CF%87%CE%B1%CE%AF%CE%BF-%CE%B3%CF%81%CE%B1%CF%86%CE%B5%CE%AF%CE%B1-%CE%BD%CF%84%CE%B5%CF%84%CE%AD%CE%BA/ HTTP/1.1" 200 65199 "http://blo.gs/ping.php" "ping.blo.gs/2.0"
2a00:ab00:203:b::8 - - [09/Apr/2018:06:39:33 +0300] "POST /wp-cron.php?doing_wp_cron=1523245173.6506760120391845703125 HTTP/1.1" 200 - "http://igrango.ru/wp-cron.php?doing_wp_cron=1523245173.6506760120391845703125" "WordPress/4.9.4; http://igrango.ru"

0
nataliya.sergeevna
не в сети 4 дня
На сайте с 03.04.2018
Участник
Тем 3
Сообщения 25
13
09:12

Это те логи?

0
Андрей CS
На сайте с 30.11.-0001
Администратор
Тем 71
Сообщения 9452
14
09:19

nataliya.sergeevna сказал(а)
Это те логи?

да, это логи доступа

0
nataliya.sergeevna
не в сети 4 дня
На сайте с 03.04.2018
Участник
Тем 3
Сообщения 25
15
09:24

А что вы по ним можете сказать. Есть что-нибудь подозрительное?

0
Андрей CS
На сайте с 30.11.-0001
Администратор
Тем 71
Сообщения 9452
16
09:34

обращение к файлу xmlrpc.php, а через него возможна удаленная публикация

0
nataliya.sergeevna
не в сети 4 дня
На сайте с 03.04.2018
Участник
Тем 3
Сообщения 25
17
09:43

Андрей CS сказал(а)
обращение к файлу xmlrpc.php, а через него возможна удаленная публикация

То есть его нужно отключить? И все?

Редакции сообщения
10.04.2018 09:44nataliya.sergeevnaПричина: не указано
0
Андрей CS
На сайте с 30.11.-0001
Администратор
Тем 71
Сообщения 9452
18
09:59

nataliya.sergeevna сказал(а)
То есть его нужно отключить? И все?

Возможно

0
Otshelnik-Fm
не в сети 12 минут
На сайте с 27.01.2013
Модератор
Тем 22
Сообщения 10330
19
10:01

wp-login.php - это не в обход плагина wp-recall - а напрямую к вашему вордпрессу обращаются чтобы зарегаться. Плагин тут не причем.
Но вы можете поставить в общих настройках wp-recall (включив расширенные настройки) "Подтверждение регистрации пользователя" - тогда надо злоумышленнику подтверждать регистрацию будет. Это вариант.

xmlrpc.php - про него стоит много интересного в гугле почитать - и это опять же файл из ядра ВП. т.е. плагин wp-recall тут тоже не участвует. Он его не использует.

Вообще если в доме окна и двери и вы поставили одну дополнительную дверь (плагин) и эта дверь имеет замок - не значит что другие окна и двери защищены и через них влезть нельзя.

Почитайте тут

Вы не можете просматривать опубликованные ссылки

- по защите есть несколько советов.
И тут

Вы не можете просматривать опубликованные ссылки

А xmlrpc.php - запрещайте из htaccess файла доступ к нему. В гугле советы по нему найдите - это вне рамок поддержки плагина, т.к. не относится к плагину. Но направление я вам дал.

0
nataliya.sergeevna
не в сети 4 дня
На сайте с 03.04.2018
Участник
Тем 3
Сообщения 25
20
10:10

Спасибо за помощь! Я очень рада, что это не ваш плагин косячит.

xmlrpc.php я запретила, нашла в гугле как.
"Подтверждение регистрации пользователя" еще вчера сделала.
Обязательно отключу регистрацию от Wordpress в админке.

0
Otshelnik-Fm
не в сети 12 минут
На сайте с 27.01.2013
Модератор
Тем 22
Сообщения 10330
21
10:15

nataliya.sergeevna сказал(а)
Обязательно отключу регистрацию от Wordpress в админке.

- только после этого впишите сниппет (по первой ссылке) чтобы от WP-Recall рега работала. Ну и протестируйте - зарегистрировав тестового пользователя. Я так и делал на своих сайтах - помогает снизить спам регистрации

0
nataliya.sergeevna
не в сети 4 дня
На сайте с 03.04.2018
Участник
Тем 3
Сообщения 25
22
10:18

- только после этого впишите сниппет (по первой ссылке) чтобы от WP-Recall рега работала. Ну и протестируйте - зарегистрировав тестового пользователя. Я так и делал на своих сайтах - помогает снизить спам регистрации

Ага, я так и хотела сделать.

0
nataliya.sergeevna
не в сети 4 дня
На сайте с 03.04.2018
Участник
Тем 3
Сообщения 25
23
10:31

А в настройках "Публикация разрешена" нужно сделать "Гостям и пользователям"?

0
Otshelnik-Fm
не в сети 12 минут
На сайте с 27.01.2013
Модератор
Тем 22
Сообщения 10330
24
10:33

Если вы хотите дать гостям публиковать - делайте. Но гость после первой публикации будет как бы регистрироваться.

0
nataliya.sergeevna
не в сети 4 дня
На сайте с 03.04.2018
Участник
Тем 3
Сообщения 25
25
10:38

Otshelnik-Fm сказал(а)
Если вы хотите дать гостям публиковать - делайте. Но гость после первой публикации будет как бы регистрироваться.

Я бы дала возможность авторам публиковать, но когда ставлю Публикация разрешена Авторам и старше, то пользователь не может добавлять публикацию. Вылазит сообщение публ

Редакции сообщения
10.04.2018 10:39nataliya.sergeevnaПричина: не указано
0
Otshelnik-Fm
не в сети 12 минут
На сайте с 27.01.2013
Модератор
Тем 22
Сообщения 10330
26
10:41

Какая роль у этого пользователя?
В общих настройках ВП что указано?

0
nataliya.sergeevna
не в сети 4 дня
На сайте с 03.04.2018
Участник
Тем 3
Сообщения 25
27
10:50

Я там поставила Роль нового пользователя: Подписчик. Думала, что это не имеет значения, так как регистрацию от вордпресс отключила. Теперь поменяла роль пользователя на: Автор, и все заработало!

0
Otshelnik-Fm
не в сети 12 минут
На сайте с 27.01.2013
Модератор
Тем 22
Сообщения 10330
28
10:56

Вопрос обозначенный вначале темы решен? Закрываю тему?

0
nataliya.sergeevna
не в сети 4 дня
На сайте с 03.04.2018
Участник
Тем 3
Сообщения 25
29
10:59

Otshelnik-Fm сказал(а)
Вопрос обозначенный вначале темы решен? Закрываю тему?

Да, решен, спасибо! Закрывайте.

0
Тема закрыта. Публикация новых сообщений запрещена.