Архив рубрики: CleanTalk

Посты по проекту Клинтолк,

http://cleantalk.ru

Усиление защиты от брутфорса

Мы добавили новую логику, для предотвращения брутфорс атак. Сервис будет проверять попытки входа один раз в час, и если некоторые из IP-адресов имеют 10 и больше попыток входа в систему, то эти IP-адреса будут блокированы в течение следующих 24 часов.

Это делает брутфорс защиту жестче и ресурсы сервера не будут тратиться на эти IP-адреса.

Скачать Security & Firewall от CleanTalk .

Новые возможности управления спам комментариями для WordPress

Для WordPress пользователей сервиса, появилась возможность управлять спам комментариями.
По умолчанию, все спам комментарии помещаются в папку спам, сейчас вы можете изменить действия плагина со спам комментариями:

1. Перемещать в папку Spam. Все спам-комментарии будут отправлены в папку «Spam» в разделе Комментарии в административной части WordPress, кроме комментариев со Стоп-Словами. Комментарии, содержащие Стоп-Слова, всегда будут отправляться на модерацию.
Что бы предотвратить разрастание папки спам, ее можно очищать автоматически, с использованием опции «Хранить спам комментарии 15 дней». Включается эта опция в настройках плагина WP Dashboard-Settings-Anti-Spam by CleanTalk->

2. Перемещать в корзину. Все спам-комментарии будут отправлены в папку «Trash» в разделе Комментарии в административной части WordPress, кроме комментариев со Стоп-Словами. Комментарии, содержащие Стоп-Слова, всегда будут отправляться на модерацию.

3. Банить комментарий без перемещения в бэкенд WordPress. Все спам-комментарии будут удаляться навсегда без следов в административной части WordPress, кроме комментариев со Стоп-Словами. Комментарии, содержащие Стоп-Слова, всегда будут отправляться на модерацию. Все заблокированные и удалённые комментарии можно найти в Антиспам Журнале.

Для управления действиями со спам комментариями, перейдите в Панель управления, выберите сайт, для которого необходимо внести изменения и перейдите в меню «Настройки» под именем сайта. На странице настроек сайта, выберите из пункта «Действие для SPAM-комментариев:» необходимые настройки и в низу страницы нажмите кнопку «Сохранить».

Новая версия Security Service by CleanTalk

Как мы уже сообщали, CleanTalk запустил проект для обеспечения безопасности web сайтов. Сервис обеспечивает брутфорс защиту административной части WordPress и логирует действия пользователей.

С 29 ноября Security by CleanTalk становится облачным сервисом и основные данные теперь будут доступны в Панели управления сервисом. Стоимость сервиса составляет $20 за год обслуживания для одного сайта.

Переход на хранение данных в облаке позволяет предоставлять больше данных и более гибко использовать информацию за счет различных фильтров в Панели управления.

В первоначальном решении, данные хранились в базе данных сайта, и большой объем данных и операции с ними могут повлиять на скорость работы сайта, а это в свою очередь может серьезно повлиять на ранжирование в поисковой выдаче. Хранение данных в облаке является более безопасным, чем в базе данных сайта. Если злоумышленник сможет получить доступ к сайту, то сможет удалить все данные по которым можно отследить его действия и быстро найти внесенные изменения и исправить их.

При работе с облаком сервис позволить хранить все данные за последние 45 дней, что позволяет хранить историю действий пользователей, данных о брутфорс атаках и успешных авторизаций и в случае необходимости узнать, кем и какие действия были произведены.

Блокирование emeil по маске

Уважаемые пользователи!

CleanTalk расширил функции персональных черных списков. Добавлена возможность фильтрации емейл адресов по маске. Используйте символ звездочки что бы задать маску ‘*’. Например:

  • name*@example.com (будут блокироваться все адреса с любым набором символов после «name»).
  • * (будут блокироваться все адреса с любым набором символов перед «aa44»).
  • *kkk*vvv*@example.com (будут блокироваться все адреса с любым набором символов перед «kkk», перед «vvv» и после «vvv»).

И так далее, комбинации заданных наборов символом в адресе можно перемешивать в любом порядке.

Инструкцию по использованию персональных черных списков можно посмотреть здесь https://cleantalk.org/help/blacklist-usage

Блокирование спама по никнеймам

Уважаемые пользователи!

Мы рады сообщить о расширении возможностей функции Стоп Слов.

Добавлена возможность использовать стоп слова для блокирования пользователей, в никнеймах которых есть определенные слова. Это позволит вам использовать сервис в том числе и для блокировки пользователей с нецензурными или содержащими рекламу никнеймами.

Как использовать опцию Стоп-Слова:

  • Зайдите в Панель управления CleanTalk.
  • Выберите сайт, у которого Вы хотите включить данную опцию.
  • Нажмите на строку «Настройки» под названием выбранного сайта.
  • Отметье галкой «Включить проверку сообщений на стоп-слова» и нажмите на кнопку «Сохранить».
  • Появится строка «Стоп-Слова» в правой части страницы, нажмите на неё, чтобы сделать список из блокируемых слов.

Обратите внимание, что изменения вступят в силу через 10-15 минут.

Опция «Стоп Лист» доступна после покупки Расширенного Пакета. Подробности можно увидеть на странице обновления подписки.

Что такое AMP (Accelerated Mobile Pages)? Как настроить CleanTalk для AMP

Что это?73rcbap

Ускоренные Мобильные Страницы — это способ создания веб-страниц статичного содержания с практически мгновенной загрузкой для мобильных устройств. Он состоит из трёх частей:

  1. AMP HTML — это HTML с ограничениями для надёжной производительности и расширениями для обогащения содержимого страниц.
  2. AMP JS — это библиотека, гарантирующая быстрое отображение страниц. Сторонние JavaScript запрещены.
  3. Google AMP Cache — это сеть на основе прокси для выдачи достоверных страниц на AMP HTML. Выборка, кэширование и улучшение производительности происходят автоматически.

Преимущества

  • Облегчённые версии стандартных веб-страниц с высокой скоростью загрузки.
  • Мгновенная подгрузка мультимедиа содержимого: видеоролики, анимация, графика.
  • Одинаковое кодирование — на разных устройствах будет одинаковое содержимое сайта с быстрой загрузкой.
  • Проект AMP открыт, что способствует свободному обмену информацией.
  • Возможное преимущество в SEO, так как скорость загрузки является одним из факторов ранжирования.
  • Наличие плагинов для популярных CMS, что облегчает внедрение AMP на сайте.

ywhw5gf

Использование в WordPress

При выборе AMP-плагина учитывайте следующее:

— Интеграция с плагином SEO для прикрепления соответствующих метаданных.

— Сбора аналитики с отслеживанием трафика AMP-версий страниц.

— Показ AMP-рекламы, если вы издатель.

Плагины, доступные в каталоге WordPress:

  1. AMP от Automattic
  2. Facebook Instant Articles & Google AMP Pages от PageFrog
  3. AMP — Accelerated Mobile Pages
  4. AMP Supremacy
  5. Custom AMP (требует установку AMP от Automattic)

Для примера установим и активируем AMP от Automattic, затем создадим новый пост с медиа-содержимым. Обратите внимание, что не страницу, а пост. Пока для WordPress-страниц автоматическое создание AMP-версии не предусмотрено.

Плагин AMP от Automattic автоматически конвертирует пост в ускоренную версию поста, при этом ничего дублировать самому не нужно. Достаточно просто дописать /amp/ (или ?amp=1) в конец ссылки:

http://demo1.cleantalk.org/wordpress/2016/09/02/amp-post/amp/

Сравним скорости загрузки постов на стационарном компьютере:

До установки AMP

d4mrvfx

 

После установки AMP

qojk4u9

По графикам и по итоговому времени загрузки сразу видно разницу.

Как настроить CleanTalk для AMP

Пожалуйста, убедитесь, что опция “Использовать AJAX для проверки JavaScript” выключена, потому что она будет препятствовать нормальному выполнению JavaScript.

Она находится здесь:

Панель Администратора WordPress —> Настройки —> CleanTalk —> Продвинутые настройки —> отключить “Использовать AJAX для проверки JavaScript” —> Сохранить изменения.

Остальные опции не будут препятствовать функционированию AMP-версии поста. Антиспам плагин от CleanTalk будет защищать все поля отправки данных, которые отобразились после преобразования.

На данный момент большинство AMP-плагинов убирает возможность комментирования и отправки контактных данных на ускоренных страницах.

Валидация от Google

Теперь нужно проверить структурированные данные с помощью инструмента “Валидатор от Google”:

https://search.google.com/structured-data/testing-tool/

Если Вы этого не сделаете, то поисковый бот просто не будет обращать внимания на Ваш пост и его не будет видно в результатах поиска.

Копируем и вставляем ссылку на AMP-версию поста и смотрим результат. Исправляем те ошибки, на которые нам укажут.

После этого Ваша AMP-версия поста будет готова.

Ссылки

Проект AMP:
https://www.ampproject.org/

Блог AMP:
https://amphtml.wordpress.com/

AMP-плагины в каталоге WordPress:
https://wordpress.org/plugins/search.php?q=AMP

Рекомендации от Google по созданию ускоренных мобильных страниц:
https://support.google.com/webmasters/answer/6340290?hl=ru

Как снизить вероятность брутфорс атак на WordPress

До момента, когда CleanTalk запустил security плагин я не обращал особого внимания на безопасность аккаунта администратора WordPress и полагался лишь на сложность пароля.

Самое опасное, это когда боты использую брутфорс, подберут пароль к аккаунту администратора сайта. Это может повлечь очень серьезные проблемы.

Поэтому рассмотрим только защиту аккаунта администратора.

Когда security плагин был запущен и возникла потребность тестировать, я начал получать отчеты о работе плагина, в которых указывается статистика неудачных попыток входа в аккаунт администратора WordPress. И за каждые сутки таких попыток было от 4 до 25, с разных IP адресов. Т.е. это были попытки подбора пароля ботами.

daily-security-report-2

На что я обратил внимание:

  1. Боты знали мой логин и подбирали пароль именно к нему.
  2. Я не использую стандартный логин Admin, а несколько изменил его.
  3. В блоге существуют и другие аккаунты администратора, но попыток их взлома за несколько дней наблюдений не происходило.

Задавшись вопросом, как боты узнали мой аккаунт и почему не пытались взломать другие аккаунты администратора? Все достаточно просто, под своим аккаунтом я размещаю посты и пишу комментарии, а другие аккаунты сделаны для наших сотрудников, хостера и других людей которые делали действия только в панели управления веб сайтом.

Исходя из этого, я понял что боты узнают логины через парсинг страниц сайта. Многие публикуют посты и комментарии из аккаунта администратора.

Например, вы публикуете пост в блоге, то ссылка на автора будет примерно такого вида http://example.com/author/admin***/. Боты просмотрев код вашего сайта ищут записи такого вида на всех страницах сайта и собирают из ссылок все аккаунты.

post

Тоже самое произойдет если вы напишите комментарий из аккаунта администратора, только ссылка будет немного другого вида http://example.com/members/admin***/

comment

Даже если вы один раз опубликовали пост или комментарий из аккаунта администратора, то боты его найдут и будут пытаться его взломать.

Я описал один из возможных сценариев получения списка аккаунтов для взлома, могут быть и другие. Но практика показала, что если аккаунт администратора WordPress не используется для публикаций и комментариев на сайте, то его боты не знают.

Что сделать для того что бы минимизировать вероятность взлома аккаунта администратора веб сайта.

  1. Не публиковать статьи и комментарии из аккаунта администратора.
  2. Создать каждому администратору аккаунт с другой ролью, например Author или Editor. Все зависит от ваших потребностей.
  3. Сменить текущего пользователя администратора. Внимание! Перед этим необходимо сделать резервную копию сайта и баз данных. Я не могу рекомендовать это, и если вы делаете это, то на свой риск, так как это может привести к нежелательным последствиям.

Потребуется создать нового пользователя с правами администратора и пользователя с другой ролью, например Author. Войти в панель управления сайтом с новым аккаунтом и проверить возможности Администратора управлять сайтом, настройками и пользователями.

Зайти в раздел «Пользователи» и удалить предыдущий аккаунт администратора, при этом WordPress вас спросит, на кого переназначить статьи и комментарии, здесь вам пригодится созданный заранее пользователь Author. На него переназначаете статьи и в дальнейшем используете для публикации постов и комментариев.

Эти действия можно сделать и для других аккаунтов администраторов. Но для большинства пользователей WordPress, будет достаточно установить один из плагинов защиты от брутфорс атак, например плагин Security & Firewall от CleanTalk.

API метод для получения кода страны по IP адресу

Мы рады сообщить о запуске нового API метода.

Теперь вы можете использовать наш метод для получения информации о принадлежности IP адреса к стране с помощью одного вызова.

Метод возвращает 2х беквенных код страны (US, UK, CN и т.д) или полное название страны (Germany, Canada) для IP адреса. Ограничение на количество элементов данных 1000.

Инструкцию о том как использовать этот метод вы можете посмотреть здесь.
https://cleantalk.org/help/api-ip-info-country-code

CleanTalk запускает проект для обеспечения безопасности веб сайтов

CleanTalk запускает масштабный проект по созданию облачного сервиса для обеспечения безопасности веб сайтов. Проект будет включать в себя несколько функций: защита сайта от брутфорс атак, сканер уязвимостей и удаление вирусов.

Каждая из функций будет иметь ряд особенностей, которые помогут вам легко и просто держать сайт в безопасности от хакеров.

Читать далее

Обновление партнерской программы

Мы обновили партнерскую программу и сделали ее более выгодной для участников.

В новой партнерской программе, начиная  уже с 11-го привлеченного пользователя,  мы увеличили выплаты с первого платежа рефералов до 70%, со всех последующих платежей, выплаты будут составлять 10%.

Принять участие в нашей партнерской программе можно прямо сейчас, используйте вашу партнерскую ссылку для привлечения рефералов.

aafiliate-ru

Принять участие могут все пользователи сервиса, разместите ссылку на вашем сайте или расскажите о сервисе друзьям в социальных сетях.