網站遭到了利用xmlrpc.php進行暴力破解的攻擊

網站遭到了利用xmlrpc.php進行暴力破解的攻擊
最近發現網站伺服器cpu都是 100%,重新開機後不久還是一樣100%滿載,仔細看了一下,發現是 MySQL 資料庫崩潰,查看一下到底哪裡出了問題。發現攻擊者利用xmlrpc.php提供的接口嘗試猜解用戶的密碼,做頻繁的嘗試。 XML-RPC 這個功能在預設的情況下就是啟用的,而XML-RPC有什麼作用呢? XML-RPC是一種遠端程序呼叫的分佈式計算協議,並使用HTTP協議作為傳送機制。 (pingbacks and trackbacks) 估計攻擊的...

保留更新提示關閉Wordpress後台自動更新功能

保留更新提示關閉Wordpress後台自動更新功能
Wordpress 3.7版本增加了後台自動更新升級的功能,默認每次有小版本如wordpress 4.2到4.2.1,程序就會自動更新,且無論更新成功或失敗都會發送郵件通知管理員,對於部分用戶並不希望程序自動更新,而是想在更新前確認一下或者備份一下程序修改過的文件,因此需要關閉自動更新功能,而wordpress程序也預留了關閉自動更新保留更新提示的接口。 關閉自動更新可以在主題functions.php函數文件和程序的wp-confi...

WordPress 增加額外的附加功能

WordPress 增加額外的附加功能
如果你已經完成以下所有項目,但還希望可以為網站增加額外的附加功能,那麼請按照下面的步驟,將程式碼加入 wp-config.php: – 停用除錯模式: define('WP_DEBUG', false); – 停用 WordPress 更新: // 完整停用自動更新 define( 'AUTOMATIC_UPDATER_DISABLED', true ); // 停用所有核心更新 define( 'WP_AUTO_UPDATE_CORE', true ); – 控制文章版本: // 限制儲存的文章版本。限制為 10 個。 define('WP_...

禁止WordPress加載自帶jquery庫

禁止WordPress加載自帶jquery庫
WordPress主題和插件都會加載不同的jquery庫,包括加載Wordpress自帶jquery庫,從而不可避免地會產生一些衝突,並造成重複加載影響頁面加載速度,利用下面的代碼可以禁止加載Wordpress自帶的jquery庫,避免JS衝突。 方法一: // 禁止加載默認jquery庫 function my_enqueue_scripts() { wp_deregister_script('jquery'); } add_action( 'wp_enqueue_scripts', 'my_enqueue_scripts', 1 ); 方法二: // 禁...

WordPress 安全清單

WordPress 安全清單
1. 防止目錄存取: 防止進入所有目錄,把以下程式碼加入 .htaccess 檔案裡。 # 防止目錄瀏覽 Options All -Indexes 2. 監測網站效能: 利用 P3 – Plugin Performance Profiler 外掛來取得你的網站效能報告。 3. 刪除安裝和升級檔案: 刪除 /wp-admin/install.php 和 /wp-admin/upgrade.php 在每次 WordPress 安裝或升級後。 4. 限制可疑的登入嘗試: 透過 Limit Login Attempts 或 Login Lockdown 外掛來...

WordPress 準備清單

WordPress 準備清單
1. 選擇正確的目錄: 選擇一個目錄,或安裝在 public_html。不要使用「root」或「WordPress」等名稱。 2. 變更資料表名稱: 使用隨機產生的字元/數字組合來命名,取代預設的 wp_ 資料表名稱。有需要可以試試看 Change DB Prefix 外掛。 3. 使用獨特的登入帳號/密碼: 避免使用 admin/admin 來做為管理員的帳號/密碼。或者,你可以參考以下範例: 使用者名稱— CMW(舉例) 密碼—(使用 Strong Pa...