Categories

Tags

关于WordPress pingback被利用对外攻击的防范措施

最近观测发现,有大量的wordpress程序网站有对外发包攻击别人的情况,导致服务器资源耗尽,带宽跑满,网站直接瘫痪,经核实,是wordpress的pingback被利用导致的,日志里面有大量的相关记录。

blob.png

关闭pingback功能

pingback在wordpress简体中文中译作“引用”,原本用途是通知对方这个地方有和你相关的信息。但却被黑客大面积利用进行攻击,所以直接建议进行关闭,操作方法:

登陆网站后台 --> 设置--> 讨论 --> 接受从其它博客的链接通知(pingback和trackback)

在这里将勾选去掉并保存,如下图所示:

taolun

并使用phpmyadmin在线管理mysql,在sql中执行以下语句:

UPDATE wp_posts SET ping_status = 'closed';

另外可以将下面的代码添加到主题目录的functions.php文件中。

add_filter( 'xmlrpc_methods', function( $methods ) {

unset( $methods['pingback.ping'] );

return $methods;} );

防范wordpress pingback对自己网站攻击:

需要阻止wordpress pingback攻击,可以利用rewrite设置屏蔽wordpress的U-AGENT请求。rewrite屏蔽规则参考说明:http://www.west.cn/faq/list.asp?unid=662 HTTP_USER_AGENT头信息这行填写WordPress。

即RewriteCond %{HTTP_USER_AGENT} "WordPress" [NC]

示例(linux下规则):

<IfModule mod_rewrite.c>

RewriteEngine On

#Block WordPress

RewriteCond %{HTTP_USER_AGENT} "WordPress" [NC]

RewriteRule (.*) - [F]

</IfModule>

利用规则屏蔽并不能完全解决,攻击量太多还是会导致网站瘫痪。

来源:西部数码


 Public @ 2013-02-20 15:45:02

MAC OS 苹果系统如何安装FileZilla上传程序

以下是安装FileZilla上传程序的步骤: 1. 打开浏览器,进入FileZilla官网(https://filezilla-project.org/)。 2. 点击页面上方的“Download”按钮,选择“Client”选项。 3. 在“Download FileZilla Client”页面中,选择适合你电脑的版本并点击下载。 4. 下载完成后,双击打开下载的安装程序,选择“Agre

 Public @ 2023-06-18 05:50:15

虚拟主机WordPress部署SSL注意事项(301跳转)

在虚拟主机上部署SSL证书时,需要注意以下几点: 1. 获取正确的SSL证书:确保你获得了合法有效的SSL证书。SSL证书可以通过第三方证书颁发机构(CA)购买或者使用免费的Let's Encrypt证书。 2. 配置虚拟主机:在虚拟主机的配置文件中,确保已启用SSL支持,并配置正确的SSL证书路径。 3. 修改WordPress配置:打开WordPress的wp-config.php文件,

 Public @ 2023-08-01 04:50:27

wordpress移动友好度大揭秘

随着移动设备的普及,越来越多的用户使用移动设备浏览网站。因此,wordpress网站的移动友好度变得越来越重要。以下是wordpress移动友好度的一些大揭秘: 1. 网站设计 一个移动友好的网站需要具备简洁、美观、易读、易操作的特点。对于wordpress网站,使用响应式设计或创建专门的移动版本都是不错的选择。这样可以保证网站在不同设备上展示的效果都很好。 2. 网站速度 网站的速度直接

 Public @ 2023-04-11 18:01:38

更多您感兴趣的搜索

0.503885s