WordPress 面对恶意请求|恶意登录的基本安全防御措施

tengxunyun cera

今天给大家分享一下 WordPress 站点的基本安全防御措施,这些都是明月多年使用 WordPress 的经验总结,至少都是“实测有效”的,甚至不少还是明月正在使用的,希望可以帮助到各位 WordPress 博客站长们。

WordPress 面对恶意请求、恶意登录的基本安全防御措施

使用 WordPress 的博客站长们应该都经历过被恶意登陆、恶意 Url 请求、恶意 XLS 注入、恶意扫描等等恶意行为吧?这些“恶意”的请求会造成站点服务器的负载持续飙升,配置低点儿的服务器(特别是共享虚拟主机类)更是会频繁的宕机和卡死,像是阿里云的共享虚拟主机服务器一旦碰到这种情况就会被主机商停机(可参考『因为阿里云主机资源耗尽停机』一文)。并且明月发现受到这类恶意请求骚扰的大部分是新手站长们。

其实这类恶意请求在网络上是非常普遍的,其主要原理一般也就是 PHP 代码后门、木马、恶意植入代码造成的,WordPress 站点在使用某些插件或者免费破解版主题的时候几乎可以百分百招来这些恶意的请求,在『说说 WordPress 的插件(Plugins)』和『说说 WordPress 的主题(Theme)』两篇文章里明月就多次的强调了这个隐患,所以明月在这里再次啰嗦一下,插件和主题要慎用!

那么出现这些恶意请求后怎么办呢?
一旦发现自己的 WordPress 站点被恶意请求了,那么就以为着你的服务器真实 IP 已经泄露或者你的 WordPress 站点被后门、木马了,这时候不要急,首先要做的是有条件的话先停止 DNS 解析或者停止服务器上的 WEB 服务器,这样可以让这些恶意请求不会对服务器性能产生大的影响和资源占用。然后就是给自己站点加个 WAF 来拦截和屏蔽这些恶意请求了,

什么是 WAF
Web 应用防护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web 应用 防火墙 是通过执行一系列针对 HTTP/HTTPS 的 安全策略 来专门为 Web 应用提供保护的一款产品。

WAF 的功能
支持 IP 白名单和黑名单功能,直接将黑名单的 IP 访问拒绝。

支持 URL 白名单,将不需要过滤的 URL 进行定义。

支持 User-Agent 的过滤,匹配自定义规则中的条目,然后进行处理(返回 403)。

支持 CC 攻击防护,单个 URL 指定时间的访问次数,超过设定值,直接返回 403。

支持 Cookie 过滤,匹配自定义规则中的条目,然后进行处理(返回 403)。

支持 URL 过滤,匹配自定义规则中的条目,如果用户请求的 URL 包含这些,返回 403。

支持 URL 参数过滤,原理同上。

支持日志记录,将所有拒绝的操作,记录到日志中去。

更多有关 WAF 的介绍,大家可以参考『LNMP 1.5 测试版体验之 ngx_lua_waf 初体验』一文里的介绍附录即可。

从上述的 WAF 的功能里就可以看出 WAF 的作用就是拦截这些恶意请求并都返回 403,随着返回 403 的频率越来越高,这种恶意请求就逐渐的减少了直至消失。高级点儿的 WAF 可以自定义规则,大家可以根据自己的需求来制定适合自己站点的 WAF 规则。

WordPress 站点如何使用 WAF?
WordPress 站点使用 WAF 有两种办法,一种是自己再服务器上给当前使用的 WEB 服务器(如:Nginx、Apache)部署一个 WAF,比如『LNMP 1.5 测试版体验之 ngx_lua_waf 初体验』一文里的 Nginx 模块 ngx_lua_waf 就是,有兴趣的朋友可以参考一下自己部署。

WordPress 面对恶意请求、恶意登录的基本安全防御措施

WordPress 面对恶意请求、恶意登录的基本安全防御措施

另外一种方法就是借助第三方免费的站点 WAF 服务了,一般 CDN 服务里都会有 WAF 功能的,比如:阿里云 CDN、又拍云 CDN 这些自带的 WAF 还是不错的。不过,明月首推的是 360 网站卫士这个专门的云 WAF 服务,虽然一直以来都是当免费 CDN 使用的,但其实严格意义上来说 360 网站卫士是个免费的网站 WAF 更准确一些,因为其提供的加速(CDN)服务的节点数量跟专业 CDN 相比实在是太少了,所以把 360 网站卫士作为一个站点 WAF 使用还是真心很不错的,至少明月感觉至今为止 360 网站卫士的效果是最好的,甚至有时候配合服务器防火墙可以抵挡一定流量的 DDOS 攻击。

总结
就目前的互联网安全形势给 WordPress 站点添加一个 WAF 可以说是个标配了,可惜很多新手站长们都给忽略了,并且明月发现不少新手站长被网上各种垃圾插件推荐软文给忽悠了,采用安全插件来应对恶意请求,殊不知这样不但徒劳无功还会“雪上加霜”,不少安全插件并不“安全”,甚至有些打着“安全”的幌子其实行的是“恶意代码”传播的事实,而今天明月推荐给大家的 WAF 都是基于规则的,可以说是最有效的应对方法了,当然方法一需要一定的技术门槛,所以明月比较推荐的是方法二,再说给站点加个 CDN 还可以给站点加速,一举两得何乐而不为呢?好在像 360 网站卫士还是免费的,这对个人博客来说绝对是个利好了。同时,给站点加了 CDN 服务后,还可以起到隐藏服务器真实 IP 地址的作用,这对站点的整体安全还是非常好的,毕竟大家都不想自己的站点经常被人攻击和骚扰吧?

最后明月建议大家站点在上线运营之初就用上一个 CDN 绝对是个应对网站安全的好习惯!

cera aliyun tengxunyun cloudiplc

相关推荐

Yoast SEO|WordPress SEO|优化插件推荐|帮助网站|进行SEO优化

如果你建站使用的是 #WordPress#,比如老唐就是用的 WordPress 建站,并且想要对网站进行#SEO# 优化,那么可以使用一些 WordPress SEO 优化插件。目前老唐也尝试过一些 WordPress SEO 插件,感觉比较好的还是 Yoast SEO 这个插件。设置起来比较方便,而且选项也比较多,但是如果不会设置的话默认设置也已经足够使用,所以推荐我们新手刚接触 SEO 的时候使用。 下载后在后台上传安装,或者直接在后台搜索安装也可以。 Yoast SEO 插件简单设置 其实基本上没有改什么设置,基本都用的#默认#设置。 不过有些设置可以看一下确认一下,比如搜索外观里,标题是否需要强制重写,我们可以重写为自己想要的网站标题,后期更换#主题#也不会影响。 此外,我们主要可能会修改的是搜索外观中的 SEO title 和 Meta description,包括每个文章页和每个独立页面的,一般来说默认也可以,我们有需求可以根据自己的需求进行修改。 如果有需要,我们也可以付费升级高级版,但是一般来说免费版够用了。  

大前端wordpress主题618限时6.8折促销|其中xiu主题218元|热门的dux主题544元

大前端wordpress主题提供还是有多年时间了,同时也是维护时间较长的主题商家,比如14年发布的XIU主题现在还在维护、更新之中,而更早之前的热门wordpress主机D8也是维护之中,只是维护的频率不如DUX等更加热门的主题。在2020年618来临之际,大前端推送了最新的旗下wordpress主题限时6.8折,优惠之后DUX主题544元,XIU主题218元,D8主题168元,TOB主机266元等,相对于平时来说还是比较不错的,有打算需求的用户可以关注一下。 大前端主题不限制域名个人,只要是同一注册信息下的域名均可以使用,可以满足科技博客、个人站、各类图片、摄影展示站、企业站、淘宝客和各种展示站点!目前小七博客使用的就是XIU主题,也是使用期限最长久的一款主题,期间更换几次,最终还是使用这一款,便宜、实惠,可以满足自己的个人需求。 活动地址:大前端官网 活动时间:2020年6月11日-2020年6月18日; 活动内容: 旗下公开发行的wordpress主题6.8折折扣!

WordPress“正在执行例行维护|请一分钟后回来”解决方法

WordPress在升级程序、主题、插件时,都会先切换到维护模式,也就是显示 “正在执行例行维护,请一分钟后回来(Briefly unavailable for scheduled maintenance. Check back in a minute)”,如果升级顺利,也就几秒左右就恢复正常;但是如果由于网速不佳等原因导致升级中断,WordPress就会一直停留在维护模式,不论前台还是后台,都一直显示“正在执行例行维护,请一分钟后回来“。 如何解决这个问题呢? 1.马上通过FTP登录你的网站,删除WordPress根目录下的 .maintenance ,刷新网页即可。 2.但是有时候你会发现,根目录根本就没有 .maintenance!倡萌最近就遇到这个问题,最初以为是隐藏了,所以使用SSH登录服务器,但是依旧没有看到,怎么办?其实有一个比较简单的办法,直接新建一个空的txt文本,上传到主机空间中,然后重命名为 .maintenance,然后你会发现 .maintenance 居然不见了!不用担心,重新刷新你的网站,是不是正常了?!

wordpress主题DUX修改熊掌号为站长平台快速收录

百度移动平台的熊掌号已经废了。至少一个月没有正常收录了。刚好百度站长平台又上线了一款叫“快速#收录#”的功能。简单查看了下。貌似就是熊掌号的替代品。目前如果需要使用快速收录,就得取消熊掌号的配额。 将熊掌号改为站长平台快速收录的方法非常简单。在站长平台快速收录处选择继承熊掌号配额即可。然后熊掌号的配额会归零。快速收录数量变为10,后续看自己提交量提升。 反正熊掌号已经没有用了,那就切换成快速收录把,没准有用呢! 下面简单介绍下wordpress的DUX主题,把熊掌号模块修改成快速收录。 1、找到主题文件夹下的“functions-xzh.php”。小白使用的是DUX 6.3 ,将“熊掌号 新文章发布时实时推送”下面的 $api = ‘http://data.zz.baidu.com/urls?appid=’. _hui(‘xzh_appid’) .’&token=’. _hui(‘xzh_post_token’) .’&type=realtime’; 修改为 $api = ‘http://data.zz.baidu.com/urls?site=’. _hui(‘xzh_appid’) .’&token=’. _hui(‘xzh_post_token’) .’&type=daily’; 2、到#dux##主题#后台熊掌号处替换 百度熊掌号 Appid 里内容填写为你的网址。举例小白的为:https://yangmaodang.org/ ,带/ 。 百度熊掌号 推送密钥 token内容填写 快速收录API中的token= 后面部分 不含&以及后面。 大功告成,实测可以自动推送到百度快速收录。 备注:切换后熊掌号会失去权益。如果你之前熊掌号收录还可以,暂时不要改。

微信扫一扫,分享到朋友圈

WordPress 面对恶意请求|恶意登录的基本安全防御措施