Zero108

Данный мануал предназначен для настройки сайтов, работающих чере CloudFlare.
Если сайт работает через CloudFlare в режиме DNS proxied ( - иконка оранжевого облака в настройках DNS сайта), то необходимо два сертификата SSL для успешного соединения:
1. Посетитель <-> сервер CloudFlare - выдается CloudFlare автоматически.
2. Сервера CloudFlare <-> ваш сервер - должен настроить пользователь.
Обычно, для второго сертификата (сервера CloudFlare <-> ваш сервер) удобно пользоваться сертификатом LetsEncrypt, так как он бесплатный и легко получается с помощью автоматических скриптов, а также его принимают браузеры. Однако, у такого сертификата есть некоторые недостатки. Во-первых, он выдается только на три месяца. Через три месяца нужно проверить, удачно ли выдан сертификат. Во-вторых, для его получения нужно подтверждение домена. Если это делается через TXT-запись в настройках DNS на CloudFlare, то каждые три месяца нужно отлючить в настройках DNS режим проксирования ( - иконка серого  облака в настройках DNS сайта) на момент подтверждения домена и получения сертификата. Если этого не сделать, процесс получения сертификата закончится блокировкой запросов на серверах LetsEncrypt сначала на 1 час, потом на 1 сутки и т.д. Это неудобно.
CloudFlare предлагает бесплатные сертификаты от Google Trust Services LLC для настройки SSL соединения сервера CloudFlare <-> ваш сервер со сроком валидности до 15 лет. Сертификат по умолчанию можно использовать для всех поддоменов, то есть он wildcard. Сертификаты выдаются в неограниченном количестве, но нужно настроить их вручную один раз для каждого уникального домена (и всех его поддоменов) на вашем сервере, для которого выдан такой сертификат. Такие сертификаты действительны только для соединения сервера CloudFlare <-> ваш сервер и не будут приняты браузером, если вы отключите режим проксирования в настройках DNS ( - иконка оранжевого облака в настройках DNS сайта) и отключите в панели управления доменом на CloudFlare режим Full (strict) в настрйоках SSL/TLS соединения. Но обо всём по порядку.
Рассмотрим процесс получения сертификата, процесс настройки параметров на CloudFlare, установки сертификата на вашем сервере (чтобы всё работало)
1. В разделе домена SSL/TLS -> Origin Server получить сертификаты для вашего домена (допустим, ваш домен имеет название mynicesite.ru). Оставьте *.mynicesite.ru, если используете www на своем сайте или другие поддомены. Скопируйте полученные данные Origin Сertifiсate и Private Key в блокнот, так как данные приватного ключа будут недоступны после закрытия страницы в браузере.



Если на вашем сервер используется ISP Manager 5 или ISP Manager 6, переходите к п. 4, минуя пп. 2-3. 

2. Сохраните данные Origin Certificate, полученные в п. 1, в файл mynicesite.ru.crt. Сохраните данные Private Key в файл mynicesite.ru.key. Загрузите оба файл в хранилище сертификатов на вашем сервере по протоколу sftp под пользователем root и присвойте права CHMOD 444 (чтение), например, в программе FileZilla. Например, сюда:
/var/www/httpd-cert/<user>/mynicesite.ru.crt
/var/www/httpd-cert/<user>/mynicesite.ru.key

3. Пропишите путь к файлам сертификата в настройках Nginx для домена. Если сервер использует индивидуальные настройки Nginx для домена то, возможно, тут:
/etc/nginx/vhosts/<user>/mynicesite.ru.conf
Копирую, как у меня, обязательные параметры выделены красным:


4. Если на вашем сервер используется ISP Manager 5 или ISP Manager 6, то, возможно, более простой путь настройки сертификатов такой. Если указанные панели не используются, переходите к п. 5.
 
В панельке ISP Manager получить самоподписанный сертификат для домена и назначить его домену. Для этого зайтите в настройки домена в разделе WWW_домены и назначьте домену самоподписанный сертификат. Далее откройте для редактирования файлы
 
/var/www/httpd-cert/<user>/mynicesite.ru.crt
/var/www/httpd-cert/<user>/mynicesite.ru.key
и вставьте в них данные путем полной замены содержимого, полученные в п. 1. Загрузите на сервер с заменой существующих файлов.

5. Перезагрузите сервис nginx в панели управления сервером или по ssh, например, используя команду service nginx restart или sudo systemctl restart nginx и т.п. (смотрите документацию к вашей версии операционной системы). Если в пп.2-4 вы всё сделали правильно, то сервис nginx перезапустится без ошибок.

6. Для успокоения души вы можете проверить срок валидности установленного сертификата с помощью команды, которую можно ввести в терминале по ssh из директории, где лежат файлы mynicesite.ru.crt и mynicesite.ru.key:
openssl x509 -noout -in mynicesite.ru.crt -dates
Результат будет такого вида:


7. Перейдите в панель управления доменом на сайте ClodFlare. В разделе DNS -> Records включите проксирование для домена:


8. Перейдите в панель управления доменом на сайте ClodFlare. В разделе SSL/TLS -> Overview включите режим Full (strict) для домена:


9. Проверьте доступность вашего сайта в браузере, проверьте сертификат ssl в браузере. Настройка завершена.
 

Значок помогает помечать исходящие ссылки, которые не принадлежат нашему домену.
Вставьте следующий код в custom.css:
.ipsType_richText a:not(:has(img))[rel*="external"]:after { content: "\f08e"; font-family: FontAwesome; font-size:10px; margin-left: 4px; display: inline-block; }
 
Если хотите чтобы значок отображался перед ссылкой замените:
after на
before

Данный мануал предназначен для настройки сайтов, работающих чере CloudFlare.
Если сайт работает через CloudFlare в режиме DNS proxied ( - иконка оранжевого облака в настройках DNS сайта), то необходимо два сертификата SSL для успешного соединения:
1. Посетитель <-> сервер CloudFlare - выдается CloudFlare автоматически.
2. Сервера CloudFlare <-> ваш сервер - должен настроить пользователь.
Обычно, для второго сертификата (сервера CloudFlare <-> ваш сервер) удобно пользоваться сертификатом LetsEncrypt, так как он бесплатный и легко получается с помощью автоматических скриптов, а также его принимают браузеры. Однако, у такого сертификата есть некоторые недостатки. Во-первых, он выдается только на три месяца. Через три месяца нужно проверить, удачно ли выдан сертификат. Во-вторых, для его получения нужно подтверждение домена. Если это делается через TXT-запись в настройках DNS на CloudFlare, то каждые три месяца нужно отлючить в настройках DNS режим проксирования ( - иконка серого  облака в настройках DNS сайта) на момент подтверждения домена и получения сертификата. Если этого не сделать, процесс получения сертификата закончится блокировкой запросов на серверах LetsEncrypt сначала на 1 час, потом на 1 сутки и т.д. Это неудобно.
CloudFlare предлагает бесплатные сертификаты от Google Trust Services LLC для настройки SSL соединения сервера CloudFlare <-> ваш сервер со сроком валидности до 15 лет. Сертификат по умолчанию можно использовать для всех поддоменов, то есть он wildcard. Сертификаты выдаются в неограниченном количестве, но нужно настроить их вручную один раз для каждого уникального домена (и всех его поддоменов) на вашем сервере, для которого выдан такой сертификат. Такие сертификаты действительны только для соединения сервера CloudFlare <-> ваш сервер и не будут приняты браузером, если вы отключите режим проксирования в настройках DNS ( - иконка оранжевого облака в настройках DNS сайта) и отключите в панели управления доменом на CloudFlare режим Full (strict) в настрйоках SSL/TLS соединения. Но обо всём по порядку.
Рассмотрим процесс получения сертификата, процесс настройки параметров на CloudFlare, установки сертификата на вашем сервере (чтобы всё работало)
1. В разделе домена SSL/TLS -> Origin Server получить сертификаты для вашего домена (допустим, ваш домен имеет название mynicesite.ru). Оставьте *.mynicesite.ru, если используете www на своем сайте или другие поддомены. Скопируйте полученные данные Origin Сertifiсate и Private Key в блокнот, так как данные приватного ключа будут недоступны после закрытия страницы в браузере.



Если на вашем сервер используется ISP Manager 5 или ISP Manager 6, переходите к п. 4, минуя пп. 2-3. 

2. Сохраните данные Origin Certificate, полученные в п. 1, в файл mynicesite.ru.crt. Сохраните данные Private Key в файл mynicesite.ru.key. Загрузите оба файл в хранилище сертификатов на вашем сервере по протоколу sftp под пользователем root и присвойте права CHMOD 444 (чтение), например, в программе FileZilla. Например, сюда:
/var/www/httpd-cert/<user>/mynicesite.ru.crt
/var/www/httpd-cert/<user>/mynicesite.ru.key

3. Пропишите путь к файлам сертификата в настройках Nginx для домена. Если сервер использует индивидуальные настройки Nginx для домена то, возможно, тут:
/etc/nginx/vhosts/<user>/mynicesite.ru.conf
Копирую, как у меня, обязательные параметры выделены красным:


4. Если на вашем сервер используется ISP Manager 5 или ISP Manager 6, то, возможно, более простой путь настройки сертификатов такой. Если указанные панели не используются, переходите к п. 5.
 
В панельке ISP Manager получить самоподписанный сертификат для домена и назначить его домену. Для этого зайтите в настройки домена в разделе WWW_домены и назначьте домену самоподписанный сертификат. Далее откройте для редактирования файлы
 
/var/www/httpd-cert/<user>/mynicesite.ru.crt
/var/www/httpd-cert/<user>/mynicesite.ru.key
и вставьте в них данные путем полной замены содержимого, полученные в п. 1. Загрузите на сервер с заменой существующих файлов.

5. Перезагрузите сервис nginx в панели управления сервером или по ssh, например, используя команду service nginx restart или sudo systemctl restart nginx и т.п. (смотрите документацию к вашей версии операционной системы). Если в пп.2-4 вы всё сделали правильно, то сервис nginx перезапустится без ошибок.

6. Для успокоения души вы можете проверить срок валидности установленного сертификата с помощью команды, которую можно ввести в терминале по ssh из директории, где лежат файлы mynicesite.ru.crt и mynicesite.ru.key:
openssl x509 -noout -in mynicesite.ru.crt -dates
Результат будет такого вида:


7. Перейдите в панель управления доменом на сайте ClodFlare. В разделе DNS -> Records включите проксирование для домена:


8. Перейдите в панель управления доменом на сайте ClodFlare. В разделе SSL/TLS -> Overview включите режим Full (strict) для домена:


9. Проверьте доступность вашего сайта в браузере, проверьте сертификат ssl в браузере. Настройка завершена.
 

1. Открыть для редактирования файл /etc/nginx/nginx.conf и добавить после http {
include /etc/nginx/blockua.conf; , где /etc/nginx/ - путь к файлу blockua.conf от корня сервера.
Чтобы получилось так:
http { include /etc/nginx/blockua.conf; В этом же файле nginx.conf добавить в разделе server {
if ($badagent) { return 403; } Чтобы получилось так:

Если это не сработает в виду особенностей настройки сервиса Nginx, нужно добавить эту директиву в двух местах в индивидуальном файле для домена:
/etc/nginx/vhosts/<пользователь>/<ваш домен>.conf
2. Проверит в файле blockua.conf, что не забанен нужный вам бот, например, Yandex.
3. Загрузить в папку /etc/nginx файл .

3. Перезапустить Nginx в консоли сервера, например, так: service nginx restart
4. Для добавления исключений, добавьте в файл blockua.conf наверху списка список исключений. Пример:
map $http_user_agent $badagent { default 0; "~*TelegramBot" 0; "~*SimplePie" 0; "~*VKRobot" 0; "~*Googlebot" 0; Загрузите файл на сервер и перезапустите службу nginx.
PS применять вместе с настройкой WAF СF и блокировкой по IP.
 
 
blockua.conf

Чтобы узнать адрес RSS-ленты YouTube канала, зайдите на страницу канала, например, https://www.youtube.com/@MANTRALIVE
Используйте сочетание клавиш Ctrl+U для отображения кода страницы или кликните правой кнопкой мыши и выберите Просмотр кода страницы.
На открывшейся странице с адресом view-source:https://www.youtube.com/@MANTRALIVE используйте поиск (Ctrl+F) и введите channelid:

Скопируйте униальный ID этого канала: UCW7nd0EKHurQ92auTCVZjSA
Добавьте его к стандартной ссылке в конце, чтобы получилось: 
https://www.youtube.com/feeds/videos.xml?channel_id=UCW7nd0EKHurQ92auTCVZjSA
Эта ссылка является RSS-лентой этого канала. Её можно использовать для автоматического импорта новых видео в приложении Videos.

1.1 Устанавливаем Redis-сервер на Centos 7:
yum install epel-release yum-utils
yum install http://rpms.remirepo.net/enterprise/remi-release-7.rpm
yum-config-manager --enable remi
yum install redis
либо для более поздних версий операционных систем:
dnf install redis autoconf gcc make zlib-devel

1.2. Добавляем в автозагрузку и стартуем:
systemctl enable redis
systemctl start redis

1.3. Проверяем, что всё работает:

systemctl status redis
redis-server --version
redis-cli ping
На последнюю команду ответ сервера должен быть PONG

1.4 В файле /etc/redis/redis.conf раскомментировать строку bind 127.0.0.1.

2.1 Устанавливаем расширение PHP-Redis:
wget https://github.com/phpredis/phpredis/archive/refs/tags/5.3.7.zip -O phpredis.zip
unzip -o ./phpredis.zip
2.2 Переходим в папку и оттуда пытаемся выполнить сборку Redis и добавление его в php 7.4:
cd ./phpredis-develop
yum install autoconf
/opt/php74/bin/phpize
./configure --with-php-config=/opt/php74/bin/php-config
make && make install && make clean
touch /opt/php74/etc/mods-available/redis.ini
echo "extension=/opt/php74/lib/php/modules/redis.so" > /opt/php74/etc/mods-available/redis.ini
killall core

2.3 Переходим в папку и оттуда пытаемся выполнить сборку Redis и добавление его в php 8.1:
wget https://github.com/phpredis/phpredis/archive/refs/tags/5.3.7.zip -O phpredis.zip
unzip -o ./phpredis.zip
cd phpredis-5.3.7/
yum install autoconf
/opt/php81/bin/phpize
./configure --with-php-config=/opt/php81/bin/php-config
make && make install && make clean
echo 'extension=redis.so' > /opt/php81/etc/mods-available/redis.ini
killall core


2.4 Переходим в папку и оттуда пытаемся выполнить сборку Redis и добавление его в php 8.2:
wget https://github.com/phpredis/phpredis/archive/refs/tags/5.3.7.zip -O phpredis.zip
unzip -o ./phpredis.zip
cd phpredis-5.3.7/
yum install autoconf
/opt/php82/bin/phpize
./configure --with-php-config=/opt/php82/bin/php-config
make && make install && make clean
echo 'extension=redis.so' > /opt/php82/etc/mods-available/redis.ini
killall core

2.5 Проверить установку php-redis
/opt/php74/bin/php -m | grep redis
/opt/php81/bin/php -m | grep redis
/opt/php82/bin/php -m | grep redis

2.7 Включить в php 7.4, 8.1, 8.2 расширение redis в панели ISPManager 5.

3. Настройки Invision Community в панели администратора сайта:
/admin/?app=core&module=settings&controller=advanced&tab=datastore&searchResult=cache_method
IP 127.0.0.1
Порт 6379
Пароль сервера - оставить пустым

Скачиваем файл constants.php и добавляем его в корневую папку сайта, если его там нет. Либо добавляем инофрмацию из него в текущий файл constants.php, если он там уже есть.

В последнее время распространение получил вид атаки на сервер посредством накрутки негативных поведенческих факторов. Так как услуга эта дорогая, есть подозрения, что организуют её крупные сетевые продавцы перед днями распродаж. Суть атаки заключается в большом количестве посещений атакуемого сайта ботами. Если посещение меньше 10-12 сек, если запросы не приводят к цели, если нет фокуса пользователя на контенте и т.д., то это расценивается поисковиками как плохой поведенческий фактор. То есть большинству посетителей сайт неинтересен. Соответственно, поисковики понижают положение сайта в поисковой выдаче, иногда отбрасывают сайт на 10-ю страницу и далее.
В российском сегменте большинство атакующих серверов находятся в облачном сервисе https://www.biterika.com/, принадлежащем ООО Biterika Grupp. В сети уже достаточно много жалоб на этот сервис, чтобы говорить об определенной тенденции.
В качестве мер противодействия рекомендуется заблокировать на своем сервере все IP адреса, принадлежащие этому облачному сервису. Также рекомендуется закрыть доступ к облачному сервису Huawei. Ниже приводится типовая схема блокировки.
1. Перейти на whois сервис и определить AS номер облачного сервиса. Например: https://www.nic.ru/whois/?searchWord=109.248.204.0 дает AS 35048.
2. Используя этот AS, номер определить все IP адреса данного облачного сервиса: https://www.enjen.net/asn-blocklist/index.php?asn=35048&type=nginx
3. Использовать типовую блокировку через .htaccess, nginx.conf, фаервол сервера, фаервол на Cloudflare.
4. Сервис Cloudflare даже на бесплатном тарифе дает возможность заблокировать все IP-адреса атакующих серверов по AS номеру. Например, в скриншотах ниже показана блокировка по AS номерам облачных сервисов Biterika и Huawei. 
 
PS. Если вам известны другие облачные сервисы, которые стоило бы заблокировать, пишите в комментариях.

Для отключения задач проверки обновлений на сайте нужно перейти в админцентре сайта по ссылке /admin/?app=core&module=support&controller=sql&do=query и выполнить следующий блок SQL запросов к базе данных:
UPDATE core_tasks SET enabled=0 WHERE `key`='updatecheck'; UPDATE core_tasks SET enabled=0 WHERE `key`='digest'; UPDATE core_tasks SET enabled=0 WHERE `key`='weeklydigest'; UPDATE core_tasks SET enabled=0 WHERE `key`='pop'; UPDATE core_tasks SET enabled=0 WHERE `key`='postBeforeRegisterFollowup'; Если у таблицы core_tasks есть префикс, например, ibf_, то команда будет выглядеть следующим образом:
UPDATE ibf_core_tasks SET enabled=0 WHERE `key`='updatecheck'; UPDATE ibf_core_tasks SET enabled=0 WHERE `key`='digest'; UPDATE ibf_core_tasks SET enabled=0 WHERE `key`='weeklydigest'; UPDATE ibf_core_tasks SET enabled=0 WHERE `key`='pop'; UPDATE ibf_core_tasks SET enabled=0 WHERE `key`='postBeforeRegisterFollowup'; Для того, чтобы включить проверку обновлений обратно, нужно выполнить аналогичный запрос, заменив цифру 0 на 1.
Данные меры могут помочь отключить уведомление серверов Invision Community о существовании вашего сайта.

Настройка отправки через mail.ru. Понадобится зарегестрестрированный ящик на mail.ru.
1. Авторизоваться на mail.ru в тот ящик, который будет использоваться для отправки писем с сайта. Перейти в раздел установки пароля для сторонних приложений: https://account.mail.ru/user/2-step-auth/passwords/ Создать пароль и скопировать его .
3. Авторизоваться в админцентр сайта и перейти в раздел Настройки Email /admin/?app=core&module=settings&controller=email
4. Наверху страницы вставить в поле Адрес исходящей электронной почты ваш емейл адрес: 
5. Внизу страницы заполнить поля, используя полученный в п.1 пароль и использованный в п.4 емейл адрес: 
 6. Сохранить настройки.
Проверить работоспособность можно, выполнив восстановление пароля на сайте для любого пользователя. Если письма с вашего сервера попадают в спам, то нужно менять IP адрес сервера, но это уже другая история.
 

Для отключения задач проверки обновлений на сайте нужно перейти в админцентре сайта по ссылке /admin/?app=core&module=support&controller=sql&do=query и выполнить следующий блок SQL запросов к базе данных:
UPDATE core_tasks SET enabled=0 WHERE `key`='updatecheck'; UPDATE core_tasks SET enabled=0 WHERE `key`='digest'; UPDATE core_tasks SET enabled=0 WHERE `key`='weeklydigest'; UPDATE core_tasks SET enabled=0 WHERE `key`='pop'; UPDATE core_tasks SET enabled=0 WHERE `key`='postBeforeRegisterFollowup'; Если у таблицы core_tasks есть префикс, например, ibf_, то команда будет выглядеть следующим образом:
UPDATE ibf_core_tasks SET enabled=0 WHERE `key`='updatecheck'; UPDATE ibf_core_tasks SET enabled=0 WHERE `key`='digest'; UPDATE ibf_core_tasks SET enabled=0 WHERE `key`='weeklydigest'; UPDATE ibf_core_tasks SET enabled=0 WHERE `key`='pop'; UPDATE ibf_core_tasks SET enabled=0 WHERE `key`='postBeforeRegisterFollowup'; Для того, чтобы включить проверку обновлений обратно, нужно выполнить аналогичный запрос, заменив цифру 0 на 1.
Данные меры могут помочь отключить уведомление серверов Invision Community о существовании вашего сайта.

1. Регистрируемся и авторизуемся на https://app.truepush.com/home/register
2. Создаем новый проект: 
3. Настраиваем параметры проекта:    
4. Кликаем Code Integration. На следующей странице  скачиваем файл sw.js и загружаем его в корневую директорию вашего сайта: 
5. На этой же странице копируем код в поле 2 и вставляем его в админпанели вашего сайта: 
6. Кликаем Setup Completed: 
7. Переходим на сайт и подписываемся на Push уведомления для теста: 
8. Интегрируем отправку уведомлений из вашей RSS-ленты в Push уведомления. 
8.1 Переходим в соответствующий раздел и кликаем Create RSS: 
8.2 Создаем RSS-ленту в соответствующем разделе сайта  или можно использовать дефолтную RSS-ленту на странице https://ваш_сайт/discover/
8.3 Переходим на страницу view-source:https://ваш_сайт/discover/ и ищем поиском созданную в п.8.2 RSS-ленту или ищем дефолтную RSS-ленту. Копируем ссылку на RSS-ленту: 
8.4 Вставляем ссылку на RSS-ленту и настраиваем остальные параметры рассылки:  → 
8.5 Теперь экспорт RSS → Push настроен. Когда в вашу RSS-ленту будет добавляться новый контент, подписчики будут получать уведомления с заданным интервалом. Рекомендую установить количество одновременных уведомлений не более 3: 
9. Создаем тестовую рассылку и отправляем её тестовому пользователю (вам).
9.1 Переходим в раздел Campaigns → Create Campaign. Заполняем необходимые поля и кликаем Send Notification: 
9.2 Если всё настроено правильно, то в правом нижнем углу экрана должно появиться всплывающее сообщение сразу или в указанные в настройке дату и время (если браузер, в котором происходила подписка, запущен, а файлы cookie этого браузера не удалены пользователем): 

1. Страница авторизации в админцентр - /admin/
Открыть phpMyAdmin. Выполнить поиск по базе данных по выражению elLogo. Вырезать следующий кусок в таблице ibf_core_theme_templates:
<li id='elLogo'> <a href='{url="&"}'> <img src='{resource="logo.png" app="core" location="admin"}' alt=''> </a> </li> Получится так:

2. Админцентр, логотип в левом верхнем углу.
Выполнить поиск по базе данных по выражению cAcpLoginBox_logo. Вырезать следующий кусок в таблице ibf_core_theme_templates:
<div class='cAcpLoginBox_logo'> <img src='{resource="logo_dark_full.png" app="core" location="admin"}' alt=''> </div> Получится так:

Примечание: поиск в phpMyAdmin осуществляется так:

 

1. Страница авторизации в админцентр - /admin/
Открыть phpMyAdmin. Выполнить поиск по базе данных по выражению elLogo. Вырезать следующий кусок в таблице ibf_core_theme_templates:
<li id='elLogo'> <a href='{url="&"}'> <img src='{resource="logo.png" app="core" location="admin"}' alt=''> </a> </li> Получится так:

2. Админцентр, логотип в левом верхнем углу.
Выполнить поиск по базе данных по выражению cAcpLoginBox_logo. Вырезать следующий кусок в таблице ibf_core_theme_templates:
<div class='cAcpLoginBox_logo'> <img src='{resource="logo_dark_full.png" app="core" location="admin"}' alt=''> </div> Получится так:

Примечание: поиск в phpMyAdmin осуществляется так:

 

1. Открыть для редактирования файл /etc/nginx/nginx.conf и добавить после http {
    include /etc/nginx/blockips.conf;
    
    где /etc/nginx/ - путь к файлу blockips.conf от корня сервера.
http { include /etc/nginx/blockips.conf;     
2. Создать на локале в Notepad++ текстовой файл blockips.conf с кодировкой UTF-8.
3. Добавить в файл список блокируемых IP адресов по образцу (возможны такие варианты):
deny 31.220.61.77;
deny 185.84.148.0/22;
deny 2a02:748:b000:3:a87a:866d:94f0:ffbe;
deny 2a02:748:b000:3:a87a:866d:94f0:ffbe/22;
Примечание:
    Инструменты, для создания списка блокируемых IP адресов:
    
    1) Спам-IP за последние 10 дней - готовый список: 
   https://ru.myip.ms/files/blacklist/csf/latest_blacklist.txt
    
    2) Спам-IP за последнее время, добавленный вручную пользователями - готовый список: https://ru.myip.ms/files/blacklist/csf/latest_blacklist_users_submitted.txt
    
    Для быстрой правки скачанных выше списков используйте текстовый редактор Notapad++:
        - нажать Ctrl+H для открытия окна автоматической замены.
        - поставить галку в окне замены галку Extended (Расширенный).
        - далее заменить \r на ;
        - далее заменить \n на \ndeny(пробел)
        - чтобы получить так: 
          deny 46.101.204.143;
          deny 55.101.204.143/21;
    
    Дополнительные инструменты, для создания списка блокируемых IP адресов:
    3) Сетевой калькулятор: http://ru.smart-ip.net/calculator#ipv4
    4) IP to CIDR: http://ip2cidr.com/bulk-ip-to-cidr-converter.php
    5) Создание списка IP в формате CIDR по странам: http://software77.net/geo-ip/ (справа блочек Country IP listing, выбрать страну и CIDR).
    
4. Залить на сервер blockips.conf по ssh, дать ему права CMOD 644 через любой файловый ssh менеджер.
5. Перезапустить Nginx, например, так: service nginx restart
6. Периодически обновляйте список, не реже одного раза в месяц.
PS Добавлен образец файла со списком спам-IP и также добавлением ниже страны Украина (добавление Украины сильно снизило количество спаммеров на моих сайтах, но это чисто индивидуально).
blockips.conf
blockips.conf

1. Открыть для редактирования файл /etc/nginx/nginx.conf и добавить после http {
    include /etc/nginx/blockips.conf;
    
    где /etc/nginx/ - путь к файлу blockips.conf от корня сервера.
http { include /etc/nginx/blockips.conf;     
2. Создать на локале в Notepad++ текстовой файл blockips.conf с кодировкой UTF-8.
3. Добавить в файл список блокируемых IP адресов по образцу (возможны такие варианты):
deny 31.220.61.77;
deny 185.84.148.0/22;
deny 2a02:748:b000:3:a87a:866d:94f0:ffbe;
deny 2a02:748:b000:3:a87a:866d:94f0:ffbe/22;
Примечание:
    Инструменты, для создания списка блокируемых IP адресов:
    
    1) Спам-IP за последние 10 дней - готовый список: 
   https://ru.myip.ms/files/blacklist/csf/latest_blacklist.txt
    
    2) Спам-IP за последнее время, добавленный вручную пользователями - готовый список: https://ru.myip.ms/files/blacklist/csf/latest_blacklist_users_submitted.txt
    
    Для быстрой правки скачанных выше списков используйте текстовый редактор Notapad++:
        - нажать Ctrl+H для открытия окна автоматической замены.
        - поставить галку в окне замены галку Extended (Расширенный).
        - далее заменить \r на ;
        - далее заменить \n на \ndeny(пробел)
        - чтобы получить так: 
          deny 46.101.204.143;
          deny 55.101.204.143/21;
    
    Дополнительные инструменты, для создания списка блокируемых IP адресов:
    3) Сетевой калькулятор: http://ru.smart-ip.net/calculator#ipv4
    4) IP to CIDR: http://ip2cidr.com/bulk-ip-to-cidr-converter.php
    5) Создание списка IP в формате CIDR по странам: http://software77.net/geo-ip/ (справа блочек Country IP listing, выбрать страну и CIDR).
    
4. Залить на сервер blockips.conf по ssh, дать ему права CMOD 644 через любой файловый ssh менеджер.
5. Перезапустить Nginx, например, так: service nginx restart
6. Периодически обновляйте список, не реже одного раза в месяц.
PS Добавлен образец файла со списком спам-IP и также добавлением ниже страны Украина (добавление Украины сильно снизило количество спаммеров на моих сайтах, но это чисто индивидуально).
blockips.conf
blockips.conf

Если по-простому, то можно сделать так, но только для тех групп, которые могут использовать HTML в сообщениях.

1. Открыть globalTemplate и вставить перед </body> следующий код:
 
            <script src="http://ajax.googleapis.com/ajax/libs/jquery/2.0.3/jquery.min.js"></script>   <link href="http://codegena.com/assets/css/image-preview-for-link.css" rel="stylesheet">       <script type="text/javascript">     $(function() {                 $('#p1 a').miniPreview({ prefetch: 'pageload' });                 $('#p2 a').miniPreview({ prefetch: 'parenthover' });                 $('#p3 a').miniPreview({ prefetch: 'none' });             });   </script> <script src="http://codegena.com/assets/js/image-preview-for-link.js"></script>
2. Добавить в редакторе текст сообщения в HTML-режиме:
 
<p id="p1"><a href="https://artsgallery.pro">Cnet</a></p> <p id="p2"><a href="https://artsgallery.pro">Codegena</a></p> <p id="p3"><a href="https://artsgallery.pro">Apple</a></p>
Атрибуты:
id="p1" - создать и показать при наведении курсора мыши предварительный просмотр страницы по ссылке при загрузке страницы (заранее).
id="p2" - создать и показать предварительный просмотр страницы по ссылке при наведении курсора мыши на ссылку (в момент наведения).
id="p3" - создавать и показывать предварительный просмотр страницы при наведении курсора на ссылку каждый раз при наведении.

Очевидно, что предпочтителен вариант p2, так как будет меньше всего нагружать браузер.

Можно попытаться сделать так, чтобы атрибут id="p2" добавлялся в каждый тег p в редакторе автоматически. Но это нужно копать редактор или писать плагин. Так далеко я не заходил. Если же речь идет о простых манипуляциях, то атрибут можно добавлять руками каждый раз, когда это нужно. Так будет меньше всего проблем.
 

Пример в аттаче (превью в примере кликабельны) ↓
 
new 3.html

Пользуюсь бесплатными сертификатами от Let's Encrypt. Google браузер использовать категорически не рекомендую в силу того, что он сканирует все ваши файлы под предлогом антивирусной проверки и может являться шпионским модулем для различных специальных служб. Данные сертификаты Let's Encrypt предоставляются бесплатно всем желающим. Возможны как обычные ssl сертификаты для доменов второго уровня, так и с недавнего времени сертификаты wild card - для доменов третьего уровня вида *.site.com. Получить сертификат от Let's Encrypt (кроме сертификатов wild card) можно в панели управления ISP Lite 5. Сертификат будет продляться автоматически самой панелью. Если же вам интересно получение сертификата wild card, то это можно сделать самостоятельно на сайте www.sslforfree.com. Краткое руководство такое:
1) https://www.sslforfree.com/ - заходите сюда и вставляете домены
site.com *.site.com  - через пробел
2) Create Free SSL Certificate - кликаете большую зеленую кнопку. Далее кликаете Manually Verify Domain.
3) Download all certification - скачиваете сертификат. 
Если на этом этапе появляется ошибка, значит нужно проверить txt записи на DNS сервере, которые нужно было прописать для подтверждения владения доменом. Записи выдаются на этапе 2.
4) Далее закачиваете на сервер полученный zip файл в папку, где у вас будут хранится данные сертификата. Там же создаете файл с названием ssl.sh и запускаете его через консоль командой:
sh /home/user/data/ssl/site.com/ssl.sh
, где /home/user/data/ssl/site.com/ - путь, где у вас хранятся ssl сертификаты и sh скрипт.
Содержимое sh файла скрипта (для систем на nginx):
#!bash cd ${0%/*} unzip -o sslforfree.zip cat certificate.crt > cert.crt echo "" >> cert.crt cat ca_bundle.crt >> cert.crt /etc/init.d/nginx reload  
5) Далее нужно прописать в nginx.conf следующие параметры после server {, где /home/user/data/ssl/site.com/ - путь, где у вас хранятся ssl сертификаты (пункт 4 выше):
server_name site.com *.site.com www.site.com; ssl on; ssl_certificate /home/user/data/ssl/site.com/cert.crt; ssl_certificate_key /home/user/data/ssl/site.com/private.key; ssl_session_cache builtin:1000 shared:SSL:10m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers EECDH:+AES256:-3DES:RSA+AES:!NULL:!RC4; add_header Strict-Transport-Security "max-age=604800"; ssl_dhparam /etc/ssl/certs/dhparam4096.pem;  
Примечание: Это наиболее простая ручная установка обычных и wild card сертификатов. Через панель ISP Lite 5 можно автоматически установить обычные (не wild card) ssl сертификаты. Панель будет продлять его автоматически. При ручной установке всю процедуру придется повторять раз в 3 мес. - равно на столько выдается бесплатный сертификат. Также возможно использование различных автоматических установщиков сертификатов, например, achme v.2, если ваш ДПС провайдер поддерживает удаленное изменение txt записи домена. Получить техническую поддержку и совет по использованию скриптов для автомаnbческой установки ssl сертификатов от Let's Encrypt можно тут: https://community.letsencrypt.org/

Пользуюсь бесплатными сертификатами от Let's Encrypt. Google браузер использовать категорически не рекомендую в силу того, что он сканирует все ваши файлы под предлогом антивирусной проверки и может являться шпионским модулем для различных специальных служб. Данные сертификаты Let's Encrypt предоставляются бесплатно всем желающим. Возможны как обычные ssl сертификаты для доменов второго уровня, так и с недавнего времени сертификаты wild card - для доменов третьего уровня вида *.site.com. Получить сертификат от Let's Encrypt (кроме сертификатов wild card) можно в панели управления ISP Lite 5. Сертификат будет продляться автоматически самой панелью. Если же вам интересно получение сертификата wild card, то это можно сделать самостоятельно на сайте www.sslforfree.com. Краткое руководство такое:
1) https://www.sslforfree.com/ - заходите сюда и вставляете домены
site.com *.site.com  - через пробел
2) Create Free SSL Certificate - кликаете большую зеленую кнопку. Далее кликаете Manually Verify Domain.
3) Download all certification - скачиваете сертификат. 
Если на этом этапе появляется ошибка, значит нужно проверить txt записи на DNS сервере, которые нужно было прописать для подтверждения владения доменом. Записи выдаются на этапе 2.
4) Далее закачиваете на сервер полученный zip файл в папку, где у вас будут хранится данные сертификата. Там же создаете файл с названием ssl.sh и запускаете его через консоль командой:
sh /home/user/data/ssl/site.com/ssl.sh
, где /home/user/data/ssl/site.com/ - путь, где у вас хранятся ssl сертификаты и sh скрипт.
Содержимое sh файла скрипта (для систем на nginx):
#!bash cd ${0%/*} unzip -o sslforfree.zip cat certificate.crt > cert.crt echo "" >> cert.crt cat ca_bundle.crt >> cert.crt /etc/init.d/nginx reload  
5) Далее нужно прописать в nginx.conf следующие параметры после server {, где /home/user/data/ssl/site.com/ - путь, где у вас хранятся ssl сертификаты (пункт 4 выше):
server_name site.com *.site.com www.site.com; ssl on; ssl_certificate /home/user/data/ssl/site.com/cert.crt; ssl_certificate_key /home/user/data/ssl/site.com/private.key; ssl_session_cache builtin:1000 shared:SSL:10m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers EECDH:+AES256:-3DES:RSA+AES:!NULL:!RC4; add_header Strict-Transport-Security "max-age=604800"; ssl_dhparam /etc/ssl/certs/dhparam4096.pem;  
Примечание: Это наиболее простая ручная установка обычных и wild card сертификатов. Через панель ISP Lite 5 можно автоматически установить обычные (не wild card) ssl сертификаты. Панель будет продлять его автоматически. При ручной установке всю процедуру придется повторять раз в 3 мес. - равно на столько выдается бесплатный сертификат. Также возможно использование различных автоматических установщиков сертификатов, например, achme v.2, если ваш ДПС провайдер поддерживает удаленное изменение txt записи домена. Получить техническую поддержку и совет по использованию скриптов для автомаnbческой установки ssl сертификатов от Let's Encrypt можно тут: https://community.letsencrypt.org/

Пользуюсь бесплатными сертификатами от Let's Encrypt. Google браузер использовать категорически не рекомендую в силу того, что он сканирует все ваши файлы под предлогом антивирусной проверки и может являться шпионским модулем для различных специальных служб. Данные сертификаты Let's Encrypt предоставляются бесплатно всем желающим. Возможны как обычные ssl сертификаты для доменов второго уровня, так и с недавнего времени сертификаты wild card - для доменов третьего уровня вида *.site.com. Получить сертификат от Let's Encrypt (кроме сертификатов wild card) можно в панели управления ISP Lite 5. Сертификат будет продляться автоматически самой панелью. Если же вам интересно получение сертификата wild card, то это можно сделать самостоятельно на сайте www.sslforfree.com. Краткое руководство такое:
1) https://www.sslforfree.com/ - заходите сюда и вставляете домены
site.com *.site.com  - через пробел
2) Create Free SSL Certificate - кликаете большую зеленую кнопку. Далее кликаете Manually Verify Domain.
3) Download all certification - скачиваете сертификат. 
Если на этом этапе появляется ошибка, значит нужно проверить txt записи на DNS сервере, которые нужно было прописать для подтверждения владения доменом. Записи выдаются на этапе 2.
4) Далее закачиваете на сервер полученный zip файл в папку, где у вас будут хранится данные сертификата. Там же создаете файл с названием ssl.sh и запускаете его через консоль командой:
sh /home/user/data/ssl/site.com/ssl.sh
, где /home/user/data/ssl/site.com/ - путь, где у вас хранятся ssl сертификаты и sh скрипт.
Содержимое sh файла скрипта (для систем на nginx):
#!bash cd ${0%/*} unzip -o sslforfree.zip cat certificate.crt > cert.crt echo "" >> cert.crt cat ca_bundle.crt >> cert.crt /etc/init.d/nginx reload  
5) Далее нужно прописать в nginx.conf следующие параметры после server {, где /home/user/data/ssl/site.com/ - путь, где у вас хранятся ssl сертификаты (пункт 4 выше):
server_name site.com *.site.com www.site.com; ssl on; ssl_certificate /home/user/data/ssl/site.com/cert.crt; ssl_certificate_key /home/user/data/ssl/site.com/private.key; ssl_session_cache builtin:1000 shared:SSL:10m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers EECDH:+AES256:-3DES:RSA+AES:!NULL:!RC4; add_header Strict-Transport-Security "max-age=604800"; ssl_dhparam /etc/ssl/certs/dhparam4096.pem;  
Примечание: Это наиболее простая ручная установка обычных и wild card сертификатов. Через панель ISP Lite 5 можно автоматически установить обычные (не wild card) ssl сертификаты. Панель будет продлять его автоматически. При ручной установке всю процедуру придется повторять раз в 3 мес. - равно на столько выдается бесплатный сертификат. Также возможно использование различных автоматических установщиков сертификатов, например, achme v.2, если ваш ДПС провайдер поддерживает удаленное изменение txt записи домена. Получить техническую поддержку и совет по использованию скриптов для автомаnbческой установки ssl сертификатов от Let's Encrypt можно тут: https://community.letsencrypt.org/

Пользуюсь бесплатными сертификатами от Let's Encrypt. Google браузер использовать категорически не рекомендую в силу того, что он сканирует все ваши файлы под предлогом антивирусной проверки и может являться шпионским модулем для различных специальных служб. Данные сертификаты Let's Encrypt предоставляются бесплатно всем желающим. Возможны как обычные ssl сертификаты для доменов второго уровня, так и с недавнего времени сертификаты wild card - для доменов третьего уровня вида *.site.com. Получить сертификат от Let's Encrypt (кроме сертификатов wild card) можно в панели управления ISP Lite 5. Сертификат будет продляться автоматически самой панелью. Если же вам интересно получение сертификата wild card, то это можно сделать самостоятельно на сайте www.sslforfree.com. Краткое руководство такое:
1) https://www.sslforfree.com/ - заходите сюда и вставляете домены
site.com *.site.com  - через пробел
2) Create Free SSL Certificate - кликаете большую зеленую кнопку. Далее кликаете Manually Verify Domain.
3) Download all certification - скачиваете сертификат. 
Если на этом этапе появляется ошибка, значит нужно проверить txt записи на DNS сервере, которые нужно было прописать для подтверждения владения доменом. Записи выдаются на этапе 2.
4) Далее закачиваете на сервер полученный zip файл в папку, где у вас будут хранится данные сертификата. Там же создаете файл с названием ssl.sh и запускаете его через консоль командой:
sh /home/user/data/ssl/site.com/ssl.sh
, где /home/user/data/ssl/site.com/ - путь, где у вас хранятся ssl сертификаты и sh скрипт.
Содержимое sh файла скрипта (для систем на nginx):
#!bash cd ${0%/*} unzip -o sslforfree.zip cat certificate.crt > cert.crt echo "" >> cert.crt cat ca_bundle.crt >> cert.crt /etc/init.d/nginx reload  
5) Далее нужно прописать в nginx.conf следующие параметры после server {, где /home/user/data/ssl/site.com/ - путь, где у вас хранятся ssl сертификаты (пункт 4 выше):
server_name site.com *.site.com www.site.com; ssl on; ssl_certificate /home/user/data/ssl/site.com/cert.crt; ssl_certificate_key /home/user/data/ssl/site.com/private.key; ssl_session_cache builtin:1000 shared:SSL:10m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers EECDH:+AES256:-3DES:RSA+AES:!NULL:!RC4; add_header Strict-Transport-Security "max-age=604800"; ssl_dhparam /etc/ssl/certs/dhparam4096.pem;  
Примечание: Это наиболее простая ручная установка обычных и wild card сертификатов. Через панель ISP Lite 5 можно автоматически установить обычные (не wild card) ssl сертификаты. Панель будет продлять его автоматически. При ручной установке всю процедуру придется повторять раз в 3 мес. - равно на столько выдается бесплатный сертификат. Также возможно использование различных автоматических установщиков сертификатов, например, achme v.2, если ваш ДПС провайдер поддерживает удаленное изменение txt записи домена. Получить техническую поддержку и совет по использованию скриптов для автомаnbческой установки ssl сертификатов от Let's Encrypt можно тут: https://community.letsencrypt.org/

1. Открыть для редактирования файл /etc/nginx/nginx.conf и добавить после http {
    include /etc/nginx/blockips.conf;
    
    где /etc/nginx/ - путь к файлу blockips.conf от корня сервера.
http { include /etc/nginx/blockips.conf;     
2. Создать на локале в Notepad++ текстовой файл blockips.conf с кодировкой UTF-8.
3. Добавить в файл список блокируемых IP адресов по образцу (возможны такие варианты):
deny 31.220.61.77;
deny 185.84.148.0/22;
deny 2a02:748:b000:3:a87a:866d:94f0:ffbe;
deny 2a02:748:b000:3:a87a:866d:94f0:ffbe/22;
Примечание:
    Инструменты, для создания списка блокируемых IP адресов:
    
    1) Спам-IP за последние 10 дней - готовый список: 
   https://ru.myip.ms/files/blacklist/csf/latest_blacklist.txt
    
    2) Спам-IP за последнее время, добавленный вручную пользователями - готовый список: https://ru.myip.ms/files/blacklist/csf/latest_blacklist_users_submitted.txt
    
    Для быстрой правки скачанных выше списков используйте текстовый редактор Notapad++:
        - нажать Ctrl+H для открытия окна автоматической замены.
        - поставить галку в окне замены галку Extended (Расширенный).
        - далее заменить \r на ;
        - далее заменить \n на \ndeny(пробел)
        - чтобы получить так: 
          deny 46.101.204.143;
          deny 55.101.204.143/21;
    
    Дополнительные инструменты, для создания списка блокируемых IP адресов:
    3) Сетевой калькулятор: http://ru.smart-ip.net/calculator#ipv4
    4) IP to CIDR: http://ip2cidr.com/bulk-ip-to-cidr-converter.php
    5) Создание списка IP в формате CIDR по странам: http://software77.net/geo-ip/ (справа блочек Country IP listing, выбрать страну и CIDR).
    
4. Залить на сервер blockips.conf по ssh, дать ему права CMOD 644 через любой файловый ssh менеджер.
5. Перезапустить Nginx, например, так: service nginx restart
6. Периодически обновляйте список, не реже одного раза в месяц.
PS Добавлен образец файла со списком спам-IP и также добавлением ниже страны Украина (добавление Украины сильно снизило количество спаммеров на моих сайтах, но это чисто индивидуально).
blockips.conf
blockips.conf