WordPress安全系列——守护你的网站安全

前言

在使用过很长一段时间的wordpress(下文中都将简写为wp)后,往往会讶异于其简介的上手、强大的扩展,以及开放包容的设计模式,吸引到很多朋友们参与到wp的使用中来,但是林子大了生物的多样性就会提现出来。

这几天在站长群内会多或少都会遇到过一些自认为懂点技术,实际就是拿着开源工具的脚本小子,以为自己手持利器便到处耀武扬威,一但你的群昵称使用的是站名,就会遭到一波狂轰滥炸,而且攻击形式各种各样,这让我下定决心想要与之较量一番;所以这一份安全系列的专题横空出世,我的愿景是将之写成一篇与时俱进的长更新文章,如文章有错误请发邮件或站内留言给我非常感谢!

文章的章节根据目录来,每一次更新会删除上次的时间戳,保留最新的。

1.网站后台爆破、进制指定文件嗅探

关于后台的入口被人恶意扫描爆破,我们该如何解决呢?下面给大家带来一种隐藏后台的思路!

1.1隐藏wp后台

隐藏后台能防止多种密码暴力破解!下面给大家带来具体的操作方法;

隐藏后台能防止多种密码暴力破解!具体方法也非常简单:

修改你当前使用的主题目录下的文件 functions.php 将以下代码加入到其最后。

其中的 【自定义】处改成你需要的字符,登录地址要改成:网站域名/wp-login.php?自定义,或:网站域名/wp-admin?自定义

如果不按照以上地址访问,将直接跳转到网站首页。

/*
 * @Author        : element
 * @Url           : e-yaunsu.com
 * @Date          : 2023-9-20 10:09:44
 * @Email         : 2279938087@qq.com
 * @Read me       : 修改自定义处 更换为你想要设置的即可,如果后面的自定义字符输入错误将跳转至你的域名网站首页
 */
add_action('login_enqueue_scripts', 'tb_wp_login_protection');function tb_wp_login_protection(){
    if( !isset($_GET['自定义']) ){
        header( 'Location: ' . home_url() );
        exit;
    }}

1.2禁止指定的文件类型被访问

如果你的网站内有部分敏感文件,是否考虑过对其做好部分的防御措施,之所以是部分是因为世事皆难有万全之策,所以我们只能尽力做好准备,对于某些心怀不轨的脚本小子,常用的嗅探手法为压缩包或者php嗅探,我们可以在你的站点 Nginx配置文件 中插入下列代码完成防御的措施

 location ~* .(ini|docx|doc|rar|tar|gz|zip|log)$ 
{
   deny all;
}

根据你不允许访问的文件内容,选择你需要禁止的类型,被限制的文件如果在次访问则返回404。

(ini|docx|doc|rar|tar|gz|zip|log) 括号内是禁止访问的类型,请使用小写 ,如需要禁用多种类型则两种类型之间增加 | 符号,用来进行间隔,如果后缀不知道为什么的话,可以找我聊聊,我多少骗你点学费!

© 版权声明
THE END
点赞0 分享
和此文作者聊聊 抢沙发

    暂无评论内容