前言
在使用过很长一段时间的wordpress(下文中都将简写为wp)后,往往会讶异于其简介的上手、强大的扩展,以及开放包容的设计模式,吸引到很多朋友们参与到wp的使用中来,但是林子大了生物的多样性就会提现出来。
这几天在站长群内会多或少都会遇到过一些自认为懂点技术,实际就是拿着开源工具的脚本小子,以为自己手持利器便到处耀武扬威,一但你的群昵称使用的是站名,就会遭到一波狂轰滥炸,而且攻击形式各种各样,这让我下定决心想要与之较量一番;所以这一份安全系列的专题横空出世,我的愿景是将之写成一篇与时俱进的长更新文章,如文章有错误请发邮件或站内留言给我非常感谢!
文章的章节根据目录来,每一次更新会删除上次的时间戳,保留最新的。
1.网站后台爆破、进制指定文件嗅探
关于后台的入口被人恶意扫描爆破,我们该如何解决呢?下面给大家带来一种隐藏后台的思路!
1.1隐藏wp后台
隐藏后台能防止多种密码暴力破解!下面给大家带来具体的操作方法;
隐藏后台能防止多种密码暴力破解!具体方法也非常简单:
修改你当前使用的主题目录下的文件 functions.php 将以下代码加入到其最后。
其中的 【自定义】处改成你需要的字符,登录地址要改成:网站域名/wp-login.php?自定义,或:网站域名/wp-admin?自定义
如果不按照以上地址访问,将直接跳转到网站首页。
/*
* @Author : element
* @Url : e-yaunsu.com
* @Date : 2023-9-20 10:09:44
* @Email : 2279938087@qq.com
* @Read me : 修改自定义处 更换为你想要设置的即可,如果后面的自定义字符输入错误将跳转至你的域名网站首页
*/
add_action('login_enqueue_scripts', 'tb_wp_login_protection');function tb_wp_login_protection(){
if( !isset($_GET['自定义']) ){
header( 'Location: ' . home_url() );
exit;
}}
1.2禁止指定的文件类型被访问
如果你的网站内有部分敏感文件,是否考虑过对其做好部分的防御措施,之所以是部分是因为世事皆难有万全之策,所以我们只能尽力做好准备,对于某些心怀不轨的脚本小子,常用的嗅探手法为压缩包或者php嗅探,我们可以在你的站点 Nginx配置文件 中插入下列代码完成防御的措施
location ~* .(ini|docx|doc|rar|tar|gz|zip|log)$
{
deny all;
}
根据你不允许访问的文件内容,选择你需要禁止的类型,被限制的文件如果在次访问则返回404。
(ini|docx|doc|rar|tar|gz|zip|log) 括号内是禁止访问的类型,请使用小写 ,如需要禁用多种类型则两种类型之间增加 | 符号,用来进行间隔,如果后缀不知道为什么的话,可以找我聊聊,我多少骗你点学费!
暂无评论内容