NO.1 要求整改
看到这篇文章的同学,好好考虑微信公众号之类的平台吧,省心
自己搭建博客,不仅会被攻击,要续费,能独立部署维护,还要及时整改,避免安全漏洞等
我指的是已备案的网站
NO.2 安全插件
推荐几个插件
- Wordfence
- Disable REST API
一个是专业的安全插件,一个是去除未登录API的请求权限插件
按照的提示设置就行
NO.3 中危漏洞
被扫描了,查到一个网站漏洞,具体不说了、
大致是一个用户信息枚举的API,WordPress的 wp/v2/users
使用PHP 禁用列出所有用户的路由
add_filter( 'rest_endpoints', function( $endpoints ){
if ( isset( $endpoints['/wp/v2/users'] ) ) {
unset( $endpoints['/wp/v2/users'] );
} return $endpoints;
});
可以写在自己的插件里(参考本文同期发布的WordPress插件设置)
错误URL
https://xxx.com//?rest_route[]=/wp/v2/users
为了解决这个特点的问题
建议在Nginx配置中设置两个内容
一.把双杠换为单杠符号
https: / /xxx.com//->https: / /xxx.com/
Nginx代码
# 把双杠换为单杠
merge_slashes off;
rewrite (.*)//(.*) $1/$2 permanent;
二.指定参数正则匹配返回404
在Nginx location / 中添加
location /
{
# 设置指定参数返回404
if ($query_string ~ "rest_route\[\]=(.*)") {
return 404;
}
}
NO.4 Tips
顺便提一下,无论是百度站长,搜狗站长,360站长
都需要在收录的时候提交备案号,身份证正反扫描件,手机号,微信号,邮箱等等的
网站也遇到过
- 网站被镜像复制(为了投简历加分或者其他爬虫原因?未知)
- DDoS 攻击(为知原因)
- 域名厂商默默把域名解绑域名释放(被我发现,工单投诉找了回来,无赔偿,因为是小域名商)
- 云服务器挂掉数据全无(就赔了两个月优惠券)
- 备案服务器xx云续期(不续期,备案取消)
- 网站漏洞扫描整改(结果待定)
- 各种插件升级过期,各种不兼容各种奇奇怪怪的配置错误
自己搭建,就当做内容备份
END