Lockdown Ledger
69 subscribers
27 photos
20 links
Battle-tested security hardening checklists and SOPs for your sites. Copy-paste frameworks to lock down WordPress, servers, and access -- step by step, nothing skipped.
Download Telegram
Forwarded from AFF.TOP
This media is not supported in your browser
VIEW IN TELEGRAM
Facebook запретил рекламу онлайн-казино Mr Vegas

Британский ASA запретил рекламу казино Mr Vegas из-за «слишком милых» мультяшных животных в креативах — регулятор счёл, что такой стиль привлекает детей, в том числе через Facebook. Рекламодатель запустил кампанию в феврале, бан вышел в июле. Логика регулятора вызывает вопросы: дети неплатёжеспособны, а таргетировать их на гемблинг бессмысленно.

➡️ Читайте на сайте: https://aff.top/blog/facebook-zapretil-reklamu-onlain-kazino-mr-vegas

🧠 Ещё больше инсайтов → в канале AFF.top
Forwarded from AFF.TOP
This media is not supported in your browser
VIEW IN TELEGRAM
В Whatsapp скамят пользователей с помощью поддельных никнеймов

WhatsApp запустил никнеймы — и почти сразу начался скам. Мошенники регистрируют имена, похожие на бренды, звёзд и политиков, с минимальными опечатками.

Индия, где 500 млн пользователей WhatsApp, потребовала от Meta объяснений за 3 дня. Meta говорит, что точные совпадения заблокированы — но одна буква в другом месте защиту не триггерит.

Похоже, п…

➡️ Читайте на сайте: https://aff.top/blog/v-whatsapp-skamiat-polzovatelei-s-pomoschiu-poddelnykh-nikneimov

🧠 Ещё больше инсайтов → в канале AFF.top
Forwarded from AFF.TOP
This media is not supported in your browser
VIEW IN TELEGRAM
Вышел ZCode - аналог Claude code

Вышел ZCode — десктопный аналог Claude Code от разработчиков GLM-5.2. Работает с API от Anthropic, поддерживает SSH-деплой на сервер, в том числе Linux.

Вместо пошаговых скриптов — система целеполагания Goal: закидываешь сложный промт, агент сам разбивает задачу и выполняет. Плюс управление через Telegram-бота.

Но главная фича — мультиагентность…

➡️ Читайте на сайте: https://aff.top/blog/vyshel-zcode-analog-claude-code

🧠 Ещё больше инсайтов → в канале AFF.top
WordPress Salt Rotation SOP
Rotating auth keys invalidates every active session and forces re-login. Run after any suspected compromise.

— Step 1: Pull fresh keys from api.wordpress.org/secret-key/1.1/salt/.
— Step 2: Replace all 8 constants in wp-config.php (AUTH_KEY through NONCE_SALT). Replace, don't append.
— Step 3: Verify the file still has no trailing whitespace after ?> — none should exist.
— Step 4: Confirm every admin gets logged out. If a session survives, a second config is being loaded.
— Step 5: Reset all admin passwords in the same window.
— Step 6: Log the rotation date in your incident sheet.

Run this every time you offboard an admin or pull a leaked backup.
Run this every time.
Forwarded from AFF.TOP
This media is not supported in your browser
VIEW IN TELEGRAM
Cloudeflare грозит Google блокировкой трафика

Cloudflare объявил: с 15 сентября 2026 года ИИ-краулеры будут заблокированы по умолчанию на всех сайтах с рекламой — включая Googlebot, Applebot и Bingbot.

Главная претензия — к Google: один и тот же бот индексирует страницы и собирает данные для обучения нейросетей, что даёт поисковику нечестное преимущество.

Но есть нюанс, который меняет всю к…

➡️ Читайте на сайте: https://aff.top/blog/cloudeflare-grozit-google-blokirovkoi-trafika

🧠 Ещё больше инсайтов → в канале AFF.top
Forwarded from AFF.TOP
This media is not supported in your browser
VIEW IN TELEGRAM
Гайд: как заработать первые деньги на Pornhub

Pornhub — самый посещаемый адалт-сайт в мире, и на нём действительно можно зарабатывать. Но схема устроена иначе, чем кажется.

Автор залил ролики, набрал 16 000 просмотров — и получил 47 центов встроенной монетизации. Реальные деньги были в другом.

Есть нюансы с верификацией, голосом в роликах и законодательством РФ, которые ломают большинство с…

➡️ Читайте на сайте: https://aff.top/blog/gaid-kak-zarabotat-pervye-dengi-na-pornhub

🧠 Ещё больше инсайтов → в канале AFF.top
XML-RPC Disable + Verify SOP
Disabling the toggle isn't enough — confirm the endpoint is actually dead.

— Step 1: Block /xmlrpc.php at the web server, not just via plugin. Plugins load too late to stop floods.
— Step 2: Verify: curl -I https://site.com/xmlrpc.php must return 403 or 404, never 405.
— Step 3: Test the amplification vector: a POST with system.multicall must be rejected before PHP runs.
— Step 4: Confirm Jetpack or mobile app isn't silently broken if you still need them — allowlist by IP instead.
— Step 5: Re-check after every WordPress core update; updates can restore the file.

Do this on every site you don't explicitly need pingbacks on.
Run this every time.
File Permission Audit SOP
Wrong permissions are the quietest backdoor. Audit, don't assume.

— Step 1: Directories to 755, files to 644: find . -type d -exec chmod 755 {} \; then -type f to 644.
— Step 2: Lock wp-config.php to 640 (or 600 if PHP runs as the owner).
— Step 3: Verify no 777 anywhere: find . -perm 0777 must return empty.
— Step 4: Confirm wp-content/uploads has no .php files — that means an upload bypass.
— Step 5: Check ownership: web user owns files, never root. find . ! -user www-data should be empty.

Run this monthly and after every server migration.
Run this every time.
Login Lockout Policy SOP
Rate-limit by behavior, not just IP — attackers rotate IPs.

— Step 1: Lock after 5 failed attempts per username, 20 minutes. Track the username, not only the IP.
— Step 2: Add a global cap: more than 50 failures across all accounts in 5 minutes triggers a site-wide cooldown.
— Step 3: Never reveal whether the username or password was wrong. Identical error for both.
— Step 4: Verify lockouts log the source IP and user agent for later review.
— Step 5: Allowlist your own office and VPN IPs from lockout, never from rate-limiting.
— Step 6: Test it: run 6 bad logins and confirm the 6th is blocked.

Do this on every site with a public login.
Run this every time.
Forwarded from AFF.TOP
This media is not supported in your browser
VIEW IN TELEGRAM
Сбер запустит свой криптокошелёк

Сбер готов запустить криптокошелёк — инфраструктура уже есть. Ждут только закона о регулировании крипты, который планируют принять к 1 сентября 2026 года.

Хранить и, судя по всему, обменивать крипту можно будет прямо в приложении — без сторонних обменников.

Но есть один нюанс, из-за которого обменники никуда не денутся. 🔍

➡️ Читайте на сайте: https://aff.top/blog/sber-zapustit-svoi-kriptokoshelek

🧠 Ещё больше инсайтов → в канале AFF.top
Forwarded from AFF.TOP
This media is not supported in your browser
VIEW IN TELEGRAM
Индия потребовала от Telegram удалять пиратский контент

Индия потребовала от Telegram удалять пиратский контент — претензия в том, что платформа не ограничивает размер файлов, что позволяет свободно распространять фильмы.

Дуров ответил, что Telegram годами работает в Индии без какой-либо коммерческой выгоды для себя.

Почему давление началось именно сейчас — вопрос открытый. Возможный ответ — в блоге.

➡️ Читайте на сайте: https://aff.top/blog/indiia-potrebovala-ot-telegram-udaliat-piratskii-kontent

🧠 Ещё больше инсайтов → в канале AFF.top
Forwarded from AFF.TOP
This media is not supported in your browser
VIEW IN TELEGRAM
Google ads меняет стратегию по конверсиям

Google меняет логику автоматических стратегий ставок: с 17 августа 2026 года кампании будут строже придерживаться указанного целевого CPA, а не давать лиды по минимально возможной цене.

Если сейчас твоя кампания даёт лиды по $5, а цель стоит $10 — после обновления алгоритм «поднимет» фактическую стоимость лида к целевой, зато отдаст больше трафик…

➡️ Читайте на сайте: https://aff.top/blog/google-ads-meniaet-strategiiu-po-konversiiam

🧠 Ещё больше инсайтов → в канале AFF.top
WAF Tuning SOP
A WAF in blocking mode on day one breaks your own admin. Tune it.

— Step 1: Deploy in detection/log-only mode for 7 days. Capture the false positives first.
— Step 2: Build rules for the OWASP top categories: SQLi, XSS, path traversal, command injection, RFI.
— Step 3: Allowlist your admin paths and upload flows that legitimately POST raw HTML.
— Step 4: Add a virtual-patch rule the moment a plugin CVE drops, before you can update.
— Step 5: Rate-limit /wp-login.php and /wp-admin/admin-ajax.php separately — ajax gets hammered.
— Step 6: Verify a blocked test payload returns a 403 and logs the rule ID.

Do this before flipping to blocking mode.
Run this every time.
Forwarded from AFF.TOP
This media is not supported in your browser
VIEW IN TELEGRAM
В Codex внедрят GPT-5.6 Ultra

OpenAI добавит в Codex эксклюзивную версию GPT-5.6 Sol Ultra — не ту, что выйдет в паблик, а отдельную, усиленную модель.

Два ключевых режима: расширенные рассуждения (модель думает дольше) и мульти-агентная работа с параллельными субагентами. Релиз ожидается 7–9 июля 2026.

Но есть один нюанс, который OpenAI пока не раскрывает 👀 Подробности — в …

➡️ Читайте на сайте: https://aff.top/blog/v-codex-vnedriat-gpt-5-6-ultra

🧠 Ещё больше инсайтов → в канале AFF.top