aplayer

Насколько я знаю DDOS защиты начинают работать когда трафик на сервер начинает исчисляться гигабайтами множественных запросов за короткие промежутки времени. Это явление довольно редкое. Большинство же китайских ботов бьют по больному месту движка не создавая много запросов. Где-то я уже выше говорил. У движка хватает уязвимостей вызывающих большую нагрузку на серверное железо. Это не является DDOS атакой. И справиться с этим можно только либо своими руками. Либо у разрабов движка руки дойдут.

Мне кажется уже не стоит с головой погружаться в ipset`ы. Дело в том что создатели iptables прекратили поддержку этой программы и создали новую nftables. В ближайшем обозримом будущем iptables с обновлением операционных систем будет вытесняться. Если есть желание заморочиться блокировкой на системном файерволе, то лучше смотреть в сторону nftables и писать скрипты для нее. Как я понял у nftables можно делать большие таблицы и у них будет высокая производительность как у ipset.

Desti вот еще чем можно воспользоваться. Блокировка стран в nginx https://github.com/makhomed/nginx-geo этот способ хорош тем что блочит страну на вебсервере. Тоесть до загрузки ядра форума. А так же не требует пересборки nginx с модулем geoip2 Если не получается зарегистрироваться из России на maxmind, можно глянуть как тут выкручиваются из ситуации. https://qna.habr.com/q/1142870 Большинство атак сразу отвалится если заблочить доступ из Китая CN а так же Тайваня Индии Бразилии и прочих стран Азии и Южной америки.

Одно время я замечал сильную нагрузку на процессор. Виной всему оказались атаки на get запросы. Их еще инъекциями называют. Это когда бот в запросах подсовывает данные не того типа который ожидает скрипт. Например если ?appid=int то он делает ?appid=string или подсовывает числа не из диапазона итп. А разрабы IPS почти нигде не реализовали проверку входных данных а тупо завернули всё в try catch, который во всех языках программирования является ресурсоемким решением. И за этого процессор и закипел. Некоторые багованные запросы могут сгенерировать неимоверно большое количество eception`ов, бот по ним и долбил. В логах системы форума погляди внимательно на адреса вызвавшие исключения. И еще один видов атак это досрочный разрыв коннекта + инъекция. Там уже вебсервер что то типа 499 ошибки выдает. Причем во всех случаях цель ботов была не sql инъекция, а именно замедление работы сервера. sql запросы туда не пихали.

вот только как долго хозяин рекапчи будет работать в российском сегменте?

эта штука появилась не так давно. Гость может написать пост и при отправке ему будет предложено зарегистрироваться. Тема/пост не будут отображаться пока гость не зарегистрируется. По итогу туда нещадно пишут боты. Я как-то в БД глянул, там легион постов от гостей. Не помню где это отключается.

SoulRainr если у тебя MS система. Надо в cmd или в powershell выполнить команду. с:\php\php.exe c:\***test.php Поставь там свои пути в которые установлен php В консоли линукса команда приведена выше

Транслитерация это обычно удел браузеров. Рекомендую попробовать мозиллу без расширений. Она наверно единственная не обладает подобными свистоперделками из коробки. Все остальные браузеры часто делают перевод текста не запрашивая разрешения пользователя, и если текста нет в словаре они вполне могут выдать транслитерацию.

а что должно произойти 30 мая? Гугл обычно высылает предупреждения о смене технологий чуть ли не за год. Но последний раз я получал от него письмо о том, что его oauth перестанет работать в старых браузерах. И может пару лет назад надо было сменить какие-то АПИ.

'base_url' => 'https://'.$_SERVER['HTTP_HOST'], кто нибудь проверял?

По идее вложения и картинки будут глючить потому-что каждый домен будет их грузить в свою папку.

значит надо распараллелить симлинками папки кэша.

С серверами это другое. Там уже поздно. Я имею ввиду эта зараза еще не добралась до доменных имен. Поэтому сейчас актуально зеркалить сайты на RU домене, чтобы безболезненно сменить адрес.

У меня давно была мысль проверить метод с симлинками. Для примера у нас есть сайт domen.com Надо зазеркалить его на domen.ru Создаем 2 разных сайта в разных директориях. Например /home/www/domen.com и /home/www/domen.ru В директории /home/www/domen.ru делаем все файлы и папки симлинками на /home/www/domen.com кроме основного конфига /home/www/domen.ru/conf_global.php. В нем мы пропишем 'base_url' => 'https://domen.ru/', По итогу мы получим два абсолютно зеркальных сайта с разными conf_global.php но они будут использовать одни и те же остальные файлы, папки и базу. Что из этого получится я не знаю. Но в свете последних событий надо готовить срочный переезд в RU зону. Пока на этом фронте всё спокойно, надо сайт хотябы зазеркалить.

могу сказать, что в Евросоюзе это запрещено законодательно. И за такие дела можно лишиться доменного имени, у них есть такие возможности. По их законам эта галочка по дефолту должна быть выключена, а пользователь должен собственноручно ее поставить. Любые, предварительно включенные, рекламные и рассылочные элементы управления в ЕС запрещены. В России с этой темой тоже лучше не перегибать палку. Ибо рекламные рассылки без согласия абонента административно наказуемы. У нас нет законов определяющих каким образом должна осуществляться подписка на рассылки. Но невозможность отписаться на этапе регистрации может запросто восприняться как рассылка без согласия. Доменного имени в России вряд ли лишат, но штрафы выписывают без проблем. Если админ сайта анонимен, могут послать запрос хостеру или в роскомнадзор на блокировку ресурса. И еще. У большинства хостеров такая концепция подписки на почтовые рассылки запрещена пользовательским соглашением.

Ну и сразу надо было спросить. А крайние версии форума с php8 дружат? Если уж обновляться, то желательно и системное ПО обновить на максимум.

Помнится не все php7* подходили для этой версии. Кто в курсе, php7.4 подходит для версии форума 4.4.10? Еще бы хотелось бы знать дружит ли php8 и 4.4.10? Кто что знает?

Estomel обрати внимание на блоки. В них можно чистый php / html писать. То-есть нет границ для творчества. Только сразу предупрежу. Иногда по непонятным причинам блоки могут показать пользователю информацию которую должен видеть только другой пользователь. С кэшированием там проблемы даже если оно отключено. Например если в блоке вывести имя пользователя, то некоторые пользователи будут видеть чужие ники. Поэтому скрипты в блоках не должны носить конфиденциальный характер.

Сейчас можешь хоть WMG хоть WMB. Но будущее очень не стабильно для этой системы. Тут скорее всего скоро не останется российских клиентов в этой системе. Если вебмани не схлопнется без российского рынка, то есть смысл ориентировать бизнес на иностранных пользователей.

я уже после всех запретов остатки с Z скинул на карту визу. И оплатил телефон. Но велики шансы, что эта система полностью уйдет из России. Или станет работать как Paypal - только заграничные платежи. Внутри РФ деньги не потратить , не перевести другим людям. Концентрировать много денег в этой системе не стоит.

Еще заметил особенность. Иногда яндекс вебмастер присылает сообщения, что найдены дубли дубли, но проблемные Get параметры форумный движок явно не генерирует. И принадлежат они совсем другим движкам. Сразу видно, что они свойственны джумлам, водпресам, phpbb итп. Откуда он их берет? Судя по всему из метрики. Боты генерят эти страницы , а скрипт метрики их видит и засчитывает это как прямой заход. Поэтому вебмастер яндекса может прислать письмо, что на форуме найдены дубли с параметрами которых на IPS вы никогда в жизни не видели.

Тут еще не понятно насколько высоко они ценятся заграницами. Сейчас у них без проблем можно оперировать нерублевыми кошельками. Z E G B все вроде работают и можно выводить с них на банковскую карту российского банка. Возможно и эту лавочку скоро прикроют. Мне вот интересно что там qiwi ждет.

В плане инструментария для разработки мне больше всего нравится Firefox. Инструменты для колдовства над страницами, сетевыми пакетами, заголовками, сертификатами, с кодом страницы, CSS, есть во всех топовых браузерах. Нажмите F12 и увидите. Но самый удобный и понятный оказался - лиса. А еще вебмастер должен проверять сайт во всех существующих браузерах, мониторах с разной диагональю и разрешением, мобильных устройствах. Тут не всё так просто.

Обычно все ошибки с языками IPS возникают из за того, что в операционной системе сервера не установлена русская локализация. Для виртуальных хостингов это может сделать только ТП. Для своего сервера это надо сделать самостоятельно. У каждой ОС свои инструменты и команды для работы с локалями. для Debian, Ubuntu это команда dpkg-reconfigure locales

https://yandex.ru/support/webmaster/robot-workings/clean-param.html тут написано что * обозначает любой диапазон символов. Это значит Clean-param: * означает игнорировать все