WordPress 中使用.htaccess 保护后台安全 之 阻止闲杂人等入内

或许很多人都清楚WordPress有一个很大逻辑漏洞,那就是目录没法改名字。常见的目录有

1
2
3
4
5
6
7
/wp-admin
/wp-content
/wp-includes
wp-includes/plugins
wp-includes/themes
wp-includes/upgrade
wp-includes/uploads

这些目录的内容如果被修改,是非常尴尬的事情,被黑被删是小意思,隐私数据被盗才是最头痛的。

如果你的空间商用的是unix(freeBSD、Linux等),那么就可以用.htaccess来进行挽救。

.htaccess介绍
关于这个文件的介绍网上有很多,也很详细。用一句话概括就是:目录配置文件。

禁止目录枚举
首先,我们要解决的是列表问题,asp的环境下,如果溢出的好,很容易做到枚举目录。这样就会十分尴尬,能列目录了,基本这个站点就废了。

稍有经验的人就会根据你的插件以及主程序的版本找到适合的漏洞利用工具。

解决方法很简单,在.htaccess的第一行插入如下内容:

1
2
#禁止目录枚举
Options -Indexes

禁止个别ip访问

这个功能在建站初期,大家或许遇到的不是很多。但是,随着你的站点不断的更新,越来越得到别人认可的时候,抓取器的爪子也就离你不远了。

简单的说,抓取器(也叫小偷工具)是一种不劳而获的工具。虽然他可以帮助你快速传播你的文章,但大多数抓取器是不会给作者署名的,也就是说你的文章可能被莫名其妙的偷到了别人网站,作者名字也未必是你,文章链接就更别想了。

对付这类抓取器,最好的办法就是 BanIP

首先,你必须知道对方的ip,获取的方法很简单,只要打开apache日志,或者直接ping对方网站即可。

接下来,我们要做的就是阻止它的访问。下面演示了几种方法,你可以随意选择(请先在测试机器上练习,除非你有FTP上传帐号)

1
2
3
4
5
6
7
8
9
10
11
12
13
#禁止IP
#黑名单模式
#单行
deny from 000.000.000.000

#网段
deny from 000.000.000.
deny from 000.000.
deny from 000.

#白名单模式
allow from 000.000.000.000
deny from all

Related posts

《WordPress 中使用.htaccess 保护后台安全 之 阻止闲杂人等入内》有一个想法

发表评论