收到网警警告后的网站修复
上周五的时候去警察局网安科喝茶了
当然不是因为网站内容的问题
不然就不仅仅是喝茶而已了
主要是几个漏洞的问题
因为我并没有学过前端 所以就靠万能的搜索引擎
主要使用的还是wordpress自己的插件
XSS注入
今天看匿名留言板才发现一年前就有人给我提过醒了
主要表现为可以在网站里注入自定义的脚本
例如在搜索框里输入<script>confirm(‘111’)</script>
网站会弹出111的消息框
主要启用了Prevent XSS Vulnerability这个插件
对< > &等符号做了过滤
启用TLS1.0/TLS1.1
需要禁用TLS1.1替换成TLS1.2或者更高版本
TLS和SSL协议可以说基本上没啥区别
都是网站的安全协议
用了IIS Crypto3.2去修改加密的方式
因为要求TLS1.2所以我就只勾了这个
不过也能通过检查了
暴力破解
其实就是撞库去猜管理员的密码
也就是暴力破解 我们经常见到的做法就是验证码
验证你是不是人类的各种验证码
这里主要用了三个插件 分别解决三个不同问题
Disable XML-RPC
禁用XMLRPC来防止被暴力破解
mlrpc.php中的一种方法
允许攻击者使用单个命令(system.multicall)
来猜测数百个密码
所以禁用掉比较安全
WPS隐藏登录
通过更改登录URL 并在未登录时
阻止访问wp-login.php页面和wp-admin目录
WPS Limit Login
限制单个ip地址的访问次数
通过这三个插件能很好的防范暴力破解
总之这件事也给个人建站国内备案的兄弟们提了个醒
网警们真的很尽责 不仅仅是网站内容审核
连网站漏洞都帮你测试完了
你们没看到漏洞调查报告
上面java php的代码有好几页
简直是手把手教你怎么改 属实良心
大家还是要长点心眼做点防御措施保护自己的网站
一条评论