Categories


Tags


关于WordPress pingback被利用对外攻击的防范措施

最近观测发现,有大量的wordpress程序网站有对外发包攻击别人的情况,导致服务器资源耗尽,带宽跑满,网站直接瘫痪,经核实,是wordpress的pingback被利用导致的,日志里面有大量的相关记录。

blob.png

关闭pingback功能

pingback在wordpress简体中文中译作“引用”,原本用途是通知对方这个地方有和你相关的信息。但却被黑客大面积利用进行攻击,所以直接建议进行关闭,操作方法:

登陆网站后台 --> 设置--> 讨论 --> 接受从其它博客的链接通知(pingback和trackback)

在这里将勾选去掉并保存,如下图所示:

taolun

并使用phpmyadmin在线管理mysql,在sql中执行以下语句:

UPDATE wp_posts SET ping_status = 'closed';

另外可以将下面的代码添加到主题目录的functions.php文件中。

add_filter( 'xmlrpc_methods', function( $methods ) {

unset( $methods['pingback.ping'] );

return $methods;} );

防范wordpress pingback对自己网站攻击:

需要阻止wordpress pingback攻击,可以利用rewrite设置屏蔽wordpress的U-AGENT请求。rewrite屏蔽规则参考说明:http://www.west.cn/faq/list.asp?unid=662 HTTP_USER_AGENT头信息这行填写WordPress。

即RewriteCond %{HTTP_USER_AGENT} "WordPress" [NC]

示例(linux下规则):

<IfModule mod_rewrite.c>

RewriteEngine On

#Block WordPress

RewriteCond %{HTTP_USER_AGENT} "WordPress" [NC]

RewriteRule (.*) - [F]

</IfModule>

利用规则屏蔽并不能完全解决,攻击量太多还是会导致网站瘫痪。

来源:西部数码


Public @ 2013-02-20 15:45:02

转移域名前不要进行续费操作

转移域名前不需要进行续费操作,因为域名续费只会将域名的到期日期向后延期,不会影响域名所有权的变化。在进行域名转移前,需要确保域名已经在当前注册商处注册超过60天,并且没有被禁止转移。转移过程中需要提供正确的授权码以及确认邮件,以确保域名所有权正确转移。

Public @ 2023-04-28 12:00:06

WordPress生成HTML静态化网站

十多年前,我写过一个“WordPress的静态化方法”,使用的是一个名为cos-html-cache的插件实现。这个插件非常简洁小巧,直接在原网站上生成首页和文章页的html文件,不过,这个插件只支持文章静态化,不支持页面、标签和分类的静态化,之后也再没有过更新。后来,我想到过利用WordPress插件导出全静态化网站的方法,用这个方法,对于少量文章挺方便,但文章数量一旦多了,就经常出错。后来,我

Public @ 2017-03-26 15:45:07

WordPress生成HTML静态化网站

WordPress是一种强大的内容管理系统(CMS),用于创建和管理网站内容。通常情况下,WordPress网站使用PHP和MySQL等动态技术生成页面。因此,每次用户访问网站时,都需要从数据库中读取和动态生成页面,这会占用服务器资源并减慢网站的速度。为了解决这个问题,我们可以使用WordPress生成HTML静态化网站。 静态化网站是将Internet站点或Web应用程序的每个页面生成为HTM

Public @ 2023-06-25 01:50:17

更多您感兴趣的搜索

0.473088s