智享笔记 WordPress
-
wp站点防止别人进行DDOS攻击
1 简介wp站点防止别人进行DDOS攻击。2 配置位置位置:根目录/wp-config.php3 配置内容在【根目录/wp-config.php】文件的开头添加如下代码:if(strpos($_SERVER['REQUEST_URI'], 'xmlrpc.php') !== false){ $protocol = $_SERVER['SERVER_PROTOCOL'] ?? ''; if(!in_array($protocol, ['HTTP/1.1', 'HTTP/2', 'HTTP/2.0', 'HTTP/3'], true)){ $protocol = 'HTTP/1.0'; } hea
-
利用xmlrpc.php对WordPress进行暴力破解攻击
1 XML-RPC攻击简介WordPress的XML-RPC攻击是指利用WordPress的XML-RPC接口进行恶意操作或者暴力破解的攻击行为。XML-RPC(XML Remote Procedure Call,XML远程过程调用)是一种远程调用协议,允许客户端通过HTTP协议调用远程服务器上的程序或者服务。在WordPress中,XML-RPC接口允许用户通过远程请求执行诸如发布文章、获取文章列表、编辑内容等操作,这些操作可以通过XML格式的数据进行传输。2 XML-RPC攻击类型(1) 暴力破解: 攻击者可以使用自动化脚本通过XML-RPC接口进行暴力破解,尝试猜测有效的用户名和密码组合
-
禁止服务器不断访问别人网站的xmlrpc.php文件
(1) 禁止访问别人网站的80端口的xmlrpc.php文件# 创建一个新的 iptables 链,用于过滤 HTTP 请求iptables -N BLOCK_XMLRPC_HTTP# 在 OUTPUT 链中添加规则,将 HTTP 请求重定向到 BLOCK_XMLRPC_HTTP 链iptables -A OUTPUT -p tcp --dport 80 -m string --string "xmlrpc.php" --algo bm -j BLOCK_XMLRPC_HTTP# 在 BLOCK_XMLRPC_HTTP 链中添加 DROP 规则,阻止匹配的 HTTP 请求iptables -A
-
Wordpress站点robots.txt文件的格式
Wordpress站点robots.txt文件的格式User-agent: *Disallow: /wp-Disallow: /?Disallow: /feed/Disallow: /*/feed/Disallow: /item/*Disallow: /goods/*Disallow: /class/*Disallow: /page/Disallow: /page/*Disallow: /trackback/Disallow: /*/trackback/Disallow: /a-category/*/page/Disallow: /a-tag/*/page/Sitemap: /rss/site
-
Wordpress安全配置-伪静态2
wordpress站点的伪静态:location /{ try_files $uri $uri/ /index.php?$args; if ($host ~* (tpc-002.mach3builders.nl|www.wbtuintotaal.nl|www.offshorerotterdam.com|www.technischbedrijf.nl|www.stage-match.nl)) { return 403; } if ($host ~* (.*\.mach3builders\.nl)) { return 403; }}location ~ ^/css/.*\.php$ { deny
-
Wordpress安全配置-主题
在主题的functions.php文件中进行如下的配置:// 去掉WordPress版本信息remove_action( 'wp_head', 'wp_generator');// 彻底屏蔽 XML-RPCadd_filter('xmlrpc_enabled', '__return_false'); add_filter('xmlrpc_methods', '__return_empty_array');// 禁止RSDremove_action('wp_head', 'rsd_link');// 禁止wlwmanifestremove_action('wp_head', 'wlwmanife