WordPress面对恶意请求、登录的基本安全防御措施-boke112联盟

搜一下搜索关闭本站首页 最新文章宝塔面板 建站经验 办公软件 最新资讯 海纳百川 博客网站 Plugins Themes WordPress ZBlogPHP 老薛主机 阿里云 腾讯云 5118优惠码 WPS专题 服务器专题 虚拟主机专题 活动推荐 最新文章 老薛主机 5118 阿里云 腾讯云 华为云 WPS专题 优惠活动  导航地图导航站内搜索 ——————    阿里云1核2G服务器87元/年  —————— 当前位置:boke112联盟WordPress正文WordPress面对恶意请求、登录的基本安全防御措施投稿  明月登楼   2020-11-11 9:03:51 更新  WordPress今天明月给大家分享一下 WordPress 站点面对恶意请求、恶意登录的基本安全防御措施,这些都是明月多年使用 WordPress 的经验总结,至少都是“实测有效”的,甚至不少还是明月正在使用的,希望可以帮助到各位 WordPress 博客站长们。使用 WordPress 的博客站长们应该都经历过被恶意登陆、恶意 Url 请求、恶意 XLS 注入、恶意扫描等等恶意行为吧?这些“恶意”的请求会造成站点服务器的负载持续飙升,配置低点儿的服务器(特别是共享虚拟主机类)更是会频繁的宕机和卡死,像是阿里云的共享虚拟主机服务器一旦碰到这种情况就会被主机商停机,并且明月发现受到这类恶意请求骚扰的大部分是新手站长们。其实这类恶意请求在网络上是非常普遍的,其主要原理一般也就是 PHP 代码后门、木马、恶意植入代码造成的,WordPress 站点在使用某些插件或者免费破解版主题的时候几乎可以百分百招来这些恶意的请求,在『WordPress 插件 Plugins 对网站主要有哪些影响?』和『WordPress 主题的选择和使用建议及频繁更换的弊端』两篇文章里明月就多次的强调了这个隐患,所以明月在这里再次啰嗦一下,插件和主题要慎用!那么出现这些恶意请求后怎么办呢?一旦发现自己的 WordPress 站点被恶意请求了,那么就意味着你的服务器真实 IP 已经泄露或者你的 WordPress 站点被后门、木马了,这时候不要急,首先要做的是有条件的话先停止 DNS 解析或者停止服务器上的 WEB 服务器,这样可以让这些恶意请求不会对服务器性能产生大的影响和资源占用。然后就是给自己站点加个 WAF 来拦截和屏蔽这些恶意请求了。什么是 WAF?Web 应用防护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web 应用 防火墙 是通过执行一系列针对 HTTP/HTTPS 的 安全策略 来专门为 Web 应用提供保护的一款产品。WAF 的功能支持 IP 白名单和黑名单功能,直接将黑名单的 IP 访问拒绝。支持 URL 白名单,将不需要过滤的 URL 进行定义。支持 User-Agent 的过滤,匹配自定义规则中的条目,然后进行处理(返回 403)。支持 CC 攻击防护,单个 URL 指定时间的访问次数,超过设定值,直接返回 403。支持 Cookie 过滤,匹配自定义规则中的条目,然后进行处理(返回 403)。支持 URL 过滤,匹配自定义规则中的条目,如果用户请求的 URL 包含这些,返回 403。支持 URL 参数过滤,原理同上。支持日志记录,将所有拒绝的操作,记录到日志中去。更多有关 WAF 的介绍,大家可以参考『LNMP 1.5 测试版体验之 ngx_lua_waf 初体验』一文里的介绍附录即可。从上述的 WAF 的功能里就可以看出 WAF 的作用就是拦截这些恶意请求并都返回 403,随着返回 403 的频率越来越高,这种恶意请求就逐渐的减少了直至消失。高级点儿的 WAF 可以自定义规则,大家可以根据自己的需求来制定适合自己站点的 WAF 规则。WordPress 站点如何使用 WAF?WordPress 站点使用 WAF 有两种办法,一种是自己再服务器上给当前使用的 WEB 服务器(如:Nginx、Apache)部署一个 WAF,比如『LNMP 1.5 测试版体验之 ngx_lua_waf 初体验』一文里的 Nginx 模块 ngx_lua_waf 就是,有兴趣的朋友可以参考一下自己部署。另外一种方法就是借助第三方免费的站点 WAF 服务了,一般 CDN 服务里都会有 WAF 功能的,比如:阿里云 CDN、又拍云 CDN 这些自带的 WAF 还是不错的。不过,明月首推的是 360 网站卫士这个专门的云 WAF 服务,虽然一直以来都是当免费 CDN 使用的,但其实严格意义上来说 360 网站卫士是个免费的网站 WAF 更准确一些,因为其提供的加速(CDN)服务的节点数量跟专业 CDN 相比实在是太少了,所以把 360 网站卫士作为一个站点 WAF 使用还是真心很不错的,至少明月感觉至今为止 360 网站卫士的效果是最好的,甚至有时候配合服务器防火墙可以抵挡一定流量的 DDOS 攻击。总结就目前的互联网安全形势给 WordPress 站点添加一个 WAF 可以说是个标配了。可惜很多新手站长们都给忽略了,并且明月发现不少新手站长被网上各种垃圾插件推荐软文给忽悠了,采用安全插件来应对恶意请求。殊不知这样不但徒劳无功还会“雪上加霜”,不少安全插件并不“安全”,甚至有些打着“安全”的幌子其实行的是“恶意代码”传播的事实。而今天明月推荐给大家的 WAF 都是基于规则的,可以说是最有效的应对方法了。当然方法一需要一定的技术门槛,所以明月比较推荐的是方法二,再说给站点加个 CDN 还可以给站点加速,一举两得何乐而不为呢?好在像 360 网站卫士还是免费的,这对个人博客来说绝对是个利好了。同时,给站点加了 CDN 服务后,还可以起到隐藏服务器真实 IP 地址的作用,这对站点的整体安全还是非常好的,毕竟大家都不想自己的站点经常被人攻击和骚扰吧?最后明月建议大家站点在上线运营之初就用上一个 CDN 绝对是个应对网站安全的好习惯!拓展阅读WordPress 站点如何用好 CDN 加速?WordPress 站点恶意代码的分析和排查方法推荐个 Web 后门扫描排查工具—WebShellkiller知名站长总结:博客新手容易犯的几个『想当然』知名站长明月登楼总结 WordPress 站点优化思路使用 CDN 时的注意事项及 CDN 对草根博客的好处关于 WordPress 后台(仪表盘)进入缓慢的原因分析 (adsbygoogle = window.adsbygoogle || []).push({});温馨提示:文章内容仅代表作者个人观点,不代表boke112联盟赞同其观点和对其真实性负责!版权声明:本文为投稿文章,感谢 明月登楼 的投稿,版权归原作者所有!发布此文是出于传递更多信息之目的,若有来源标注错误或侵犯了您的合法权益,请与老古(QQ:2226524923)联系,老古将及时更正、删除,谢谢!文章标签:WordPress安全 ,  网站安全 ,  更多热门标签您可能感兴趣的文章恶意爬虫Bot带来哪些业务运营风险? 如何正确的避免WordPress管理员登录用户名被暴露 如何去除WordPress后台登录页忘记密码链接功能? nginx服务器如何设置图片或图片目录防盗链? 「漏洞公告」WordPress 未授权远程代码执行漏洞 如何隐藏 Nginx 版本号和 Web 服务器名称? 如何使用iptables禁止/解封某个IP访问? 屏蔽恶意IP 禁止访问站点的WordPress插件:WP-Ban WordPress站点安全卫士插件:Wordfence Security 被人暴力破解后台如何用mysql命令查询攻击者信息 WordPress自动更新漏洞可使全球27%网站被一举击溃 WordPress4.7.2版本修复4个漏洞建议立刻升级更新如果文章对你有帮助,请赞赏支持作者继续创作! NEXT那些年,我用过的WordPresses PREVIOUSWordPress版本的Blogs主题如何删除keyword关键词?明月登楼  玉满斋创始人明月登楼的个人博客,主要以网站建设、博客心得、心情随笔、佳文分享…我要投稿(adsbygoogle = window.adsbygoogle || []).push({});本文所属分类最新文章WordPress 5.7.1版本修复了2个安全漏洞26个问题,建议及时更新 淘宝上卖的WordPress主题可以购买来使用吗? WordPress站点Gravatar头像前后台不显示的解决办法 怎么替换WordPress主题默认的logo图片?如何替换站点前端logo? WordPress做公司官网好吗?会不会显得档次很低? WordPress主题需要支持https吗?WordPress站点如何实现https? WordPress站点的页面/标签/分类URL地址如何添加.html? WordPress建立个人博客网站用什么虚拟主机比较好? WordPress站点安装Cloudflare插件并启用后设置页空白怎么办? 新手建立WordPress站点用什么虚拟主机比较好? 阿里云轻量应用服务器怎么搭建WordPress网站?分两种情况 阿里云轻量级云服务器怎么用WordPress建立博客网站?WordPress建站吧发表于2019-01-05 10:01  19楼嗯用了CDN可以隐藏服务器真实ip在一定程度上可以抵御一些攻击。。。阿里云有专门应对攻击的scdn巨贵,一般人用不起钓鱼大师发表于2018-12-05 00:05  18楼学习了···清风小墨发表于2018-12-04 22:25  17楼hide了wp就好了趣知识发表于2018-12-04 16:59  16楼我好几次被CC攻击了99八十一发表于2018-12-04 15:57  15楼学习了,不知道宝塔有没有waf。中意眼镜工作室2018-12-04 20:23 @99八十一宝塔的waf是要钱的,如果有可能不建议用面板小兽wordpress发表于2018-12-04 15:29  14楼安装的宝塔面板,买了防火墙服务。每天都有很多恶意请求。明月登楼 作者回复2018-12-04 15:37 @小兽wordpress宝塔没有用过,其售卖的防火墙更是没有用过,不太清楚!我只知道使用CDN隐藏一下真实IP是很有必要的!否则任何防火墙都是个“摆设” [笑哭]搬瓦工vps发表于2018-12-04 14:18  13楼学以致用明月登楼 作者回复2018-12-04 15:38 @搬瓦工vps谢谢支持![呲牙]Zenlee发表于2018-12-04 13:53  12楼一般个人网站被攻击是为了什么,好像没有什么吸引力的地方吧明月登楼 作者回复2018-12-04 15:36 @Zenlee为了盗用你的资源,你服务器的资源、你站点的域名资源、你服务器绑定IP的资源等等,说白了就是你家的地被别人各种“播种”! [呲牙]灯芯绒面料发表于2018-12-04 13:37  11楼360和百度安全,哪个比较好明月登楼 作者回复2018-12-04 13:46 @灯芯绒面料我是首推360网站卫士的!BanYuner发表于2018-12-04 12:49  10楼我觉得任何防御都是基于IP访问频率问题,控制好这个基本就可以了,除非别人有代理池,那你也没办法明月登楼 作者回复2018-12-04 13:47 @BanYunerIP频率这个我倒是尝试过Nginx的IP限制,效果不是很好其实!目前看还是基于防护规则的WAF比较有效!弥雅尔尔发表于2018-12-04 11:59  9楼弥雅用的是阿里云!明月登楼 作者回复2018-12-04 13:47 @弥雅尔尔阿里云CDN?套路云除了主机其他的真心不怎么靠谱!我就爱旅游发表于2018-12-04 11:56  8楼工具只是辅助,其实还是需要加强自身的安全知识明月登楼 作者回复2018-12-04 13:47 @我就爱旅游是的,不过工具还是很有必要常备的!夏天烤洋芋发表于2018-12-04 11:38  7楼[奋斗] 加强网站的安全。明月登楼 作者回复2018-12-04 13:48 @夏天烤洋芋应该是提升了网站的安全防御能力!唯心寒辞发表于2018-12-04 10:45  6楼之前用过360网站卫士,虽然只有一个节点,但还是挺不错的明月登楼 作者回复2018-12-04 13:48 @唯心寒辞嗯,必要的时候绝对是有用的! [呲牙]Fat_凯发表于2018-12-04 10:24  5楼用的七牛cdn,不知道有没有防御!明月登楼 作者回复2018-12-04 13:49 @Fat_凯七牛云目前没有听说过有waf的,也可能是人家不公开吧!但我碰到过七牛云被人恶意刷流量!黑鸟博客发表于2018-12-04 09:33  4楼网站没北岸,一切都是扯淡..明月登楼 作者回复2018-12-04 13:50 @黑鸟博客哈哈,备案这个梗到现在为止感觉已经没有啥好纠结的了,早备案早省事儿!vshare发表于2018-12-04 09:08  地板其实封IP段最舒服,恶意攻击停止后释放IP段明月登楼 作者回复2018-12-04 13:51 @vshare封IP段不科学,也不建议新手使用!有时候封的不好会把自己给误伤了,严重的误伤了搜索引擎蜘蛛爬虫,那就是很恶心了!Action发表于2018-12-04 08:54  板凳涨知识了,今天才知道CDN 服务里都有 WAF 功能。明月登楼 作者回复2018-12-04 13:51 @Action不见得是都有的,有些有,有些是没有的! [呲牙]Jane博客发表于2018-12-04 07:50  沙发这个很实用,想博主和作者两位大佬想学习明月登楼 作者回复2018-12-04 13:51 @Jane博客谢谢支持! [呲牙](adsbygoogle = window.adsbygoogle || []).push({}); (function(){if(!(/iphone|ipod|ipad|Android|nokia|blackberry|webos|webmate|bada|lg|ucweb|skyfire|sony|ericsson|mot|samsung|sgh|lg|philips|panasonic|alcatel|lenovo|cldc|midp|wap|mobile/i.test(navigator.userAgent.toLowerCase()))){(adsbygoogle = window.adsbygoogle || []).push({});}}());最新 推荐 随机 建站1阿里云新用户最值得入手的云服务器低至0.6折1核2G仅需87元/年2阿里云企业服务器优惠活动低至1.3折2核8G仅需390元/年3腾讯云境外免备案轻量应用服务器低至288元/年864元/3年起4腾讯云企业级服务器新用户优惠活动低至1.5折2核4G仅需425元/年5在哪里可以购买腾讯云服务器学生机?有几种配置?多少钱?6腾讯云服务器和轻量应用服务器区别有哪些?应该如何选择?7使用优惠码boke112购买老薛国内郑州2号主机享5.6折仅需88元/年82021国内入门级云服务器1核2G推荐:阿里云和腾讯云9老薛主机的香港、优质美国和美国空间免备案虚拟主机应该怎么选?1阿里云ECS共享型n4云服务器1核2G仅需87元/年,261元/3年2免备案香港VPS云服务器都有哪些?推荐几个不错的香港主机3使用优惠码iboke112购买5118专业版会员享6折仅需1025元/年4使用优惠码boke112购买老薛香港2号主机享5.6折优惠仅需88元/年52021最新5118优惠码iboke112可享受8.8折优惠,附使用教程6腾讯云学生服务器优惠低至0.6折,2核4G3M仅需468元/年72021最新老薛主机优惠码boke112,购买虚拟主机和VPS主机享7折优惠8阿里云上公司注册/个体工商户注册有什么优势和优惠政策?费用价格如何?9恒创主机优惠码85折_服务器优惠码8折_恒创科技优惠_现金券18条Google Adsense常见违规原因值得站长留意2老薛虚拟主机如何自助生成SSL证书?3解决wordpress发布时间显示为8小时前的3种办法4WordPress如何在后台删除单篇文章的所有评论?5怎么替换WordPress主题默认的logo图片?如何替换站点前端logo?6腾讯云服务器如何放行8888端口给宝塔面板?7XP系统工具栏出现很多无效空白对勾怎么解决?8WordPress文章中嵌入代码的插件Code Embed9如何用5118筛选出有利的贴吧数据进行推广引流?1建立一个自己的博客网站最少要花费多少钱?2新手小白如何搭建个人博客网站?4个步骤建立博客网站3新手站长如何使用云服务器搭建个人博客网站 ?4阿里云服务器ECS搭建博客网站新手系列教程(6个详细步骤)5腾讯云服务器搭建博客网站新手系列教程(6个详细步骤)6老薛主机建站基础教程:如何优惠购买老薛主机及建立博客网站7宝塔面板建站基础教程:如何安装宝塔面板及建立博客网站8Boke112导航隆重推出WordPress新手入门教程9关于推出ZBlogPHP新手入门教程的说明专题文章服务器专题华为云WPS专题恒创科技主机Google Adsense专题5118优惠码WordPress入门教程ZBlogPHP入门教程西部数码主机尊云服务器专题UCloud专题(function(){if(!(/iphone|ipod|ipad|Android|nokia|blackberry|webos|webmate|bada|lg|ucweb|skyfire|sony|ericsson|mot|samsung|sgh|lg|philips|panasonic|alcatel|lenovo|cldc|midp|wap|mobile/i.test(navigator.userAgent.toLowerCase()))){(adsbygoogle = window.adsbygoogle || []).push({});}}()); boke112联盟(boke112.com)是一个面向个人站长的技术交流博客,致力于推荐阿里云和腾讯云各种优惠活动,分享老薛主机优惠码boke112、5118优惠码iboke112,关注个人建立博客网站的相关教程经验及各种问题,旨在与更多人分享独立博客的乐趣!微信公众号站长QQ群 官方微博 推荐栏目关于本站免责声明站点地图宝塔建站老薛建站博客导航阿里云建站腾讯云建站赞助光荣榜 Copyright © boke112联盟   |   基于 阿里云 + WP 构建  |   桂ICP备14004711号-3  |   桂公网安备 45010502000016号站长QQ 回到顶部 function Search(type){ if (type==”baidu”) { var valuebd=$(“#baidu”).val(); if(valuebd){window.open(“https://www.baidu.com/s?wd=”+valuebd+”+site%3Aboke112.com”); }}else{ var value=$(“#s”).val(); window.open(“https://boke112.com/search/”+value+”/”,_self);}return false;}很抱歉,没有Javascript,boke112联盟就不能正常工作,请在浏览器设置中启用它并刷新此页面。#ays_noscript{display:flex !important;}html{pointer-events: none;user-select: none;}

Posted in 未分类

互喷

发表评论

邮箱地址不会被公开。 必填项已用*标注

4 − 2 =

Next Post

959时尚女孩网

周三 5月 5 , 2021
搜一下搜索关闭本站首页 最新文章宝塔面板 建站经验 办公软件 最新资讯 海纳百川 博客网站 Plug […]