Categories

Tags

关于WordPress pingback被利用对外攻击的防范措施

最近观测发现,有大量的wordpress程序网站有对外发包攻击别人的情况,导致服务器资源耗尽,带宽跑满,网站直接瘫痪,经核实,是wordpress的pingback被利用导致的,日志里面有大量的相关记录。

blob.png

关闭pingback功能

pingback在wordpress简体中文中译作“引用”,原本用途是通知对方这个地方有和你相关的信息。但却被黑客大面积利用进行攻击,所以直接建议进行关闭,操作方法:

登陆网站后台 --> 设置--> 讨论 --> 接受从其它博客的链接通知(pingback和trackback)

在这里将勾选去掉并保存,如下图所示:

taolun

并使用phpmyadmin在线管理mysql,在sql中执行以下语句:

UPDATE wp_posts SET ping_status = 'closed';

另外可以将下面的代码添加到主题目录的functions.php文件中。

add_filter( 'xmlrpc_methods', function( $methods ) {

unset( $methods['pingback.ping'] );

return $methods;} );

防范wordpress pingback对自己网站攻击:

需要阻止wordpress pingback攻击,可以利用rewrite设置屏蔽wordpress的U-AGENT请求。rewrite屏蔽规则参考说明:http://www.west.cn/faq/list.asp?unid=662 HTTP_USER_AGENT头信息这行填写WordPress。

即RewriteCond %{HTTP_USER_AGENT} "WordPress" [NC]

示例(linux下规则):

<IfModule mod_rewrite.c>

RewriteEngine On

#Block WordPress

RewriteCond %{HTTP_USER_AGENT} "WordPress" [NC]

RewriteRule (.*) - [F]

</IfModule>

利用规则屏蔽并不能完全解决,攻击量太多还是会导致网站瘫痪。

来源:西部数码


 Public @ 2013-02-20 15:45:02

西部数码访问统计、流量解释(关键词:访问统计、流量总和、统计软件、robots.txt、蜘蛛、流量)

访问统计和流量总和是网站运营中常用的指标,用于了解网站的访问情况和流量产生情况。 访问统计通常是通过安装统计软件实现的,这些软件可以跟踪网站的日志,并对访问量、IP地址、浏览器、操作系统、访问来源等进行统计分析,并将结果以报表形式呈现。其中,访问来源是非常重要的指标,可以告诉我们网站的流量来源。 流量总和指的是网站在一段时间内的总访问量,一般以PV(页面浏览量)或UV(独立访客数)的方式表示。

 Public @ 2023-04-24 14:00:18

WordPress导出全静态化网站

WordPress做为世界上流行的博客建站软件,不管是从界面还是功能上来说都非常成熟,不过有一点比较遗憾,Wordpress建立的主要是动态网站页面,其性能消耗比较大,用Wordpress建立较大的网站,对服务器端资源占用较多,而很多时候,我们需要的是一个完全静态的网站。完全静态的网站只有html文件,对服务器资源消耗极低,很多地方提供免费托管静态网站的服务,因此静态网站运行成本非常低,此外,静态

 Public @ 2022-06-12 15:45:07

十大最佳WordPress插件推荐

1.Yoast SEO:这是WordPress上最受欢迎的SEO插件,对博客 /网站的SEO和社交媒体有很大帮助。 2.Jetpack:它是WordPress.com开发的功能强大的插件,可提升博客 /网站功能和安全性。 3.Gravity Forms:这是一款高级表单管理系统,可在您的博客 /网站中建立非常有用的表单,以收集重要信息。 4.Woocommerce:这是WordPress

 Public @ 2023-02-24 20:48:39

更多您感兴趣的搜索

0.461916s