跳至正文

收到网警警告后的网站修复

上周五的时候去警察局网安科喝茶了

当然不是因为网站内容的问题

不然就不仅仅是喝茶而已了

主要是几个漏洞的问题

因为我并没有学过前端 所以就靠万能的搜索引擎

主要使用的还是wordpress自己的插件


XSS注入

今天看匿名留言板才发现一年前就有人给我提过醒了

主要表现为可以在网站里注入自定义的脚本

例如在搜索框里输入<script>confirm(‘111’)</script>

网站会弹出111的消息框

主要启用了Prevent XSS Vulnerability这个插件

对< > &等符号做了过滤


启用TLS1.0/TLS1.1

需要禁用TLS1.1替换成TLS1.2或者更高版本

TLS和SSL协议可以说基本上没啥区别

都是网站的安全协议

用了IIS Crypto3.2去修改加密的方式

因为要求TLS1.2所以我就只勾了这个

不过也能通过检查了


暴力破解

其实就是撞库去猜管理员的密码

也就是暴力破解 我们经常见到的做法就是验证码

验证你是不是人类的各种验证码

这里主要用了三个插件 分别解决三个不同问题

Disable XML-RPC

禁用XMLRPC来防止被暴力破解

mlrpc.php中的一种方法

允许攻击者使用单个命令(system.multicall)

来猜测数百个密码

所以禁用掉比较安全

WPS隐藏登录

通过更改登录URL 并在未登录时

阻止访问wp-login.php页面和wp-admin目录

WPS Limit Login

限制单个ip地址的访问次数

通过这三个插件能很好的防范暴力破解


总之这件事也给个人建站国内备案的兄弟们提了个醒

网警们真的很尽责 不仅仅是网站内容审核

连网站漏洞都帮你测试完了

你们没看到漏洞调查报告

上面java php的代码有好几页

简直是手把手教你怎么改 属实良心

大家还是要长点心眼做点防御措施保护自己的网站

《收到网警警告后的网站修复》有1个想法

  1. Pingback: 从OneNote迁移笔记 到 谈XML-RPC与Word的关系 – 海星peter的海滩

发表评论

您的电子邮箱地址不会被公开。