Периодически на сайты WordPress происходят атаки при помощи ботов. Их можно назвать brute-force атаками. Мы уже рассматривали с Вами, как защититься от таких действий, но данная статья покажет еще один отличный способ защиты от подобного рода действий.

Имеется масса плагинов, которые позволяют защищать свой WordPress-сайт от подобных ботов, но мы лишь будем использовать файл .htaccess, который поможет нам во многом. Поэтому, подготовьте данный файл и давайте уже приступим.

Подготовка кода для защиты от ботов

Код файла htaccess в основном будет состоять из списка ботов, которые мы хотим блокировать. Нам необходимо знать их название, в данном коде приведены только самые популярные. Вам необходимо данный код просто скопировать и вставить в файл:

Исходный код

# Bot Blocker
<IfModule mod_setenvif.c>
  SetEnvIfNoCase User-Agent ^$ keep_out
  SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out
  SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
  SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out
  <Limit GET POST PUT>
    Order Allow,Deny
    Allow from all
    Deny from env=keep_out
  </Limit>
</IfModule>

Тестирование кода

Далее нам необходимо проверить, насколько корректно отрабатывает наш созданный код. Для этого можно воспользоваться отличным сервисом Bots VS Browsers. Данный сайт, можно сказать, симулирует подобную атаку, то есть, создает ложную. Вам необходимо пройти на данный сайт, выбрать бота, которого Вы прописали в коде файла, и использовать его в качестве User-agent.

После этого, необходимо ввести домена Вашего ресурса и нажать на кнопку Go. Если на экране Вы увидите 403 ошибку, то это означает, что код работает корректно, если что-то другое, то возможно Вы сделали что-то не то.

Добавление в файл htaccess других ботов

Код, который способен блокировать ботов Вы уже знаете. Подобным образом можно добавить и блокировать любого бота, самое главное знать его имя. Вы даже можете придумать имя собственного бота и заблокировать его, например, при помощи такой строки:

Исходный код

SetEnvIfNoCase User-Agent (i-IS-evilBOT) keep_out

То есть, в коде, что описан выше, мы блокируем бота под именем i-IS-evilBO, которого мы придумали. Вы можете набирать имя бота в любом регистре букв, оно не чувствительно. Далее мы переходим обратно на сайт имитации атаки, выставляем в качестве User-agent того бота, что мы придумали только что и видим, что он также заблокирован.

Я упомянул в начале статьи о том, что имеется достаточное количество плагинов, которые позволяют блокировать подобные боты и атаки, причем не стоит вручную редактировать какие-то файлы. Но я бы не советовал Вам их использовать, ведь при помощи htaccess Вы сами все контролируете, получаете лучшую безопасность WordPress сайта, а самое главное производительность и эффективность.