5個.htaccess保護WordPress網站方式
您是否正在為您的 WordPress 網站尋找一些有用的 .htaccess保護網站技巧。.htaccess是一個強大的設定文件,它允許你在你的網站上做很多的事情。 在本文中,我們將向您展示一些透過.htaccess去保護WordPress網站的技巧 。 什麼是 .htaccess 以及如何編輯它? htaccess 文件屬於一個網頁伺服器的配置文件。它允許你定義你的伺服器遵循你為的規則。 .htaccess 文件位於你的 WordPress 根目錄中。你需要使用一個FTP客戶端連接到你的網站來編輯它。 (一般於根目錄並沒有看到的話,請打開你FTP客戶端的顯示隱藏文件) 1. 透過.htaccess限制IP進入WordPress後台 首先到 whatismyip.com 查看現在您的IP位置 (My Public IPv4 is: xx.xx.xx.xx) 然後到網站根目錄的.htaccess添加以下代碼 **記得將Allow from的xx更改成剛才所得到的IP位置 然後你就會發現您的wp-admin或wp-login.php是只有您的IP位置有權限瀏覽的。 2. 禁止瀏覽目錄 目錄瀏覽是指當您使用Web 瀏覽器訪問網站而不是網頁時,您會看到文件和文件夾列表。雖然一般著重安全的寄存服務供應商已禁止任何人瀏覽目錄,但總有一些供應商漏掉這個重要的一環。 如果沒有禁止的話,將會令你網站上所有內容都糟到洩露,假設您有一個具有以下的網站”www.yoursitename.com”並且你創建了一個名為private的文件夾。如果該網站啟用瀏覽目錄,黑客只需在瀏覽器中輸入http://www.yoursitename.com/private/即可輕鬆訪問private 中的所有文件。 至於如何禁止?十分簡單只需要到.htaccess新增以下代碼就好。 3. 保護您的WordPress設定檔文件 WordPress中最重要的文件,我覺得絕對非wp-config.php莫屬,它含有你WordPress的數據庫詳細資料。 為了保護你的wp-config.php你只需將此代碼添加到您的 .htaccess 文件中: 4. 利用.htaccess禁止使用XML-RPC 每個 WordPress 安裝都帶有一個名為 xmlrpc.php 的文件。此文件允許第三方應用程序連接到您的 WordPress 站點。大多數 WordPress 安全專家建議,如果您沒有使用任何第三方應用程序,那麼您應該禁用此功能。 有多種方法可以做到這一點,其中之一是將以下代碼添加到您的 […]
分析假冒及含惡意的WordPress插件 – 重定向
今時今日最熱門的CMS就會是WordPress,它的熱門程度不會在這篇文章詳細討論,今次我們想講的會是WordPress最常見的漏洞「插件」,沒錯就是插件,為了使網頁開發更加有效開發者會使用各種不同的插件去協助開發。 市場上有超過50,000個插件,有免費提供亦有開發商提供的付款版本,亦有一些含有惡意的「盜版」許多盜版會偽裝成免費的商業版插件或主題,盜版含有大量有害的後門,在這篇文章將會介紹比較長見的重定向惡意行為及如何保護您的網站。 惡意注入重定向代碼的例子 最近我們有位新客戶反映,他的網站於舊服務器被駭,現在進去一直會被跳轉至其他網站,當客戶搬遷過來之後,我們發現他的每一個檔案被注入了chr(xx),這是一種比較常見的透過ascii重定向的做法。ascii詳細對照表 https://www.man7.org/linux/man-pages/man7/ascii.7.html 我們的客戶所遇到的攻擊不止是針對網站進行重定向,亦會感染資料庫將Site_url及Home_url更改為其他網站,亦會自動感染所有核心文件及建立更多後門。 經我們EBuildHost的安全團隊修復並檢查,發現原來是客戶使用了一個盜版的flatsome主題,該盜版主題含有大量的後門,當您透過該主題下載它建議的插件並啟動後就會自動感染您所有於public_html及數據庫。 如何保護您的服務器免受惡意插件的侵害 避免這種類型的惡意攻擊請用戶始終遵循以下步驟。 只從可信的來源/開發商的網站上購買插件,而不是從隨機的網站。 要注意免費的插件。惡意的/假的插件往往偽裝成免費版本的高級插件。安裝前要檢查。 定期更新已安裝的插件。確保運行的插件是更新/最新的版本。檢查所安裝的插件是否涵蓋最新的安全更新。 刪除禁用或不需要的插件,最好是刪除不再需要的插件,而不是禁用它們。因為即使禁用的插件也會留下它們的漏洞。 更改密碼。經常更改wordpress管理員和cPanel的密碼。 禁用文件編輯。為了避免獲得管理賬戶的訪問權,禁止編輯管理用戶編輯插件和主題的PHP文件。 在採取上述步驟的同時,我們建議使用採用Imunify360的主機商。 它可以清除惡意軟件,並防止暴力登錄攻擊。 它可以幫助用戶進行惡意軟件檢測和清理功能,同時確保零日威脅和其他各種實時威脅的安全。 通過我們的主動防禦,惡意軟件很容易被識別。它分析了PHP腳本的行為,防止它對服務器造成任何傷害。 它檢測隱藏的惡意代碼,這些代碼可能被混淆,被注入到合法文件的中間。它可以發現攻擊模式並進行相應的處理。 Imunify360可以在大多數網絡應用程序攻擊開始之前就阻止它們。 一套定義好的規則有助於識別和阻止惡意攻擊。 此外,它很容易識別有關域名是否被列入黑名單或在任何其他AVs中被映射為惡意的。 使你的網站不受黑客攻擊和黑名單的影響。 因此,我們建議網站開發者使用含有Imunify360的主機商,而EBuildHost就是其中的一家提供Imunify360及CageFS的主機商,每天自動掃瞄每位客戶的所有檔案,如有發現將會自動處理相關檔案並通知客戶。
The Plus Addons for Elementor 存在Critical zero-day漏洞: 能以管理員注冊及登陸
2021年3月8日,Wordfence威脅情報團隊意識到Elementor的The Plus Addons中存在”critical zero-day 零日漏洞或零時差漏洞”通常是指還沒有修補程式的安全漏洞。 該插件是一個高級付款插件,Wordfence估計有超過3萬個安裝量。3月8日早上,寄存公司Seravo向WPScan報告了這個漏洞。該漏洞使得攻擊者有可能在易受攻擊的網站上創建新的管理員賬戶,如果用戶註冊被啟用,同時以其他管理員身份登錄。 The Plus Addons for Elementor Lite,即同一開發商的免費版本,反而並沒有受到這個漏洞的影響。 Wordfence Premium客戶在2021年3月8日收到了一個規則,以防止主動利用這個漏洞。仍在使用免費版的Wordfence用戶將在2021年4月7日收到保護。 如果您正在使用The Plus Addons for Elementor插件,Wordfence強烈建議您完全停用並刪除該插件,直到該漏洞被修補。免費版本如能夠滿足您的需求,您可以暫時切換到該版本。如果您的網站功能依賴於此插件,我們建議完全刪除插件添加的任何註冊或登錄小工具,並禁用您網站上的註冊。在此發布之時,還沒有打過補丁的版本。 “The Plus Addons for Elementor “是一個插件,旨在添加幾個額外的小部件供Elementor使用。其中一個小部件增加了向Elementor頁面添加用戶登錄和註冊表格的功能。不幸的是,這個功能配置不當,允許攻擊者作為管理員註冊,或作為現有的管理員登錄。 需要注意的是,即使你沒有使用該插件創建的活動登錄或註冊頁面,這個漏洞仍然可以被利用。這意味著,任何運行該插件的網站都容易被入侵。 目前,由於這是一個被積極利用的漏洞,Wordfence發布的細節非常少。我們可能會在未來決定發布更多的細節,但與此同時,我們建議你採取適當的措施來保護你的網站。 漏洞的指標 目前,Wordfence掌握的洩密跡象非常有限。然而,Wordfence認為攻擊者正在根據該漏洞如何創建用戶賬戶的方式添加用戶名作為註冊的電子郵件地址,並在某些情況下安裝了標有wpstaff的惡意插件。我們強烈建議檢查您的網站是否有任何不認識的管理員或您沒有安裝的插件。 Wordfence及EBuildHost將在了解更多信息後更新本篇文章內容。 Wordfence 應對時間表 結論 在今天的帖子中,我們詳細介紹了The Plus Addons for Elementor尚未修補的安全漏洞,該插件可讓未經身份驗證的攻擊者提升其在易受攻擊的WordPress注冊管理員權限。這可以令您的WordPress網站被完全接管或破壞。截至今天早上,此漏洞當前仍未修復,因此,我們強烈建議您停用並刪除該插件,直到發布補丁為止。 當Wordfence有新一步進展我們亦會盡快更新部落格 原始資料:https://www.wordfence.com/blog/2021/03/critical-0-day-in-the-plus-addons-for-elementor-allows-site-takeover/
增加OpenCart安全性的11個技巧
OpenCart是一個開放源代碼的電子商務CMS,歷史中第一次公開釋出是1999年5月11日。但去到在2010年代初,其受歡迎程度才有顯著增長。最新趨勢表明,儘管它尚未在電子商務行業中佔據相當大的份額,但它無疑是當今市場上熱門的電子商務平台之一。 OpenCart的核心軟件在2019年僅發現了2-3個中等關鍵漏洞,與其他平台相比,這個數字相當不錯。 但是,擁有安全的核心軟件並不意味著您可以確保OpenCart商店免受攻擊。在現今的網絡世界中,所有平台只要擁有並儲存客戶敏感信息就有機會受到某種程度上的攻擊。 在此《 增加OpenCart安全性的11個技巧》中,我們將提供11種增加安全性的技巧作。 目錄: 刪除install文件夾 小心第三方插件 遵循電子商務最佳安全設定法 重新命名admin文件夾 設置安全檔案權限 防火牆 獲得安全的寄存服務 使用最新版本的OpenCart 為您的管理面板啟用SSL 使用人機驗證reCAPTCHA 定期掃描惡意軟件和安全評估 刪除install文件夾 安裝完成後立即刪除”install”文件夾或目錄。如果黑客可以訪問install文件夾,則可以重新啟動安裝文件夾並覆蓋您的網站。安裝並設置商店後,install文件夾將毫無用處。通常的做法是刪除不需要的或未使用的文件夾,以降低利用風險。 為了刪除安裝文件夾有2種方法:1. 請打開您的FTP客戶端 → public_html → 找到install文件夾並將其刪除。 2. 登陸cPanel → 檔案管理員 → public_html → 找到install文件夾並將其刪除。 注意第三方插件 第三方插件永遠是將網站暴露在危險中的主要成因而臭名昭著,OpenCart亦不例外。OpenCart的第三方插件並沒有受到嚴格審查。因此,當您使用OpenCart插件時,您只能依賴外掛開發人員,這是一個十分危險的情況。插件漏洞是黑客能夠打開通往後台並感染它們的最常見原因之一。 黑客通常會對開源插件進行更改,以便利用安裝它們的網站。這就是為什麼您應該盡量只安裝來自受信任的高評級供應商產品的原因。另外,請保持所有擴展的更新,並刪除不使用的插件。您還需要定期掃描所有插件中是否存在漏洞或受感染的代碼。 遵循電子商務最佳安全設定法 無論是否使用OpenCart,都應遵循標準的電子商務安全法例子。OpenCart可以參考以下方法: 1. 複雜的密碼 暴力攻擊是最有效及常見的手法,意思是透過點擊和嘗試密碼方法來破解用戶密碼。如果您設置的密碼複雜且不常見,那麼暴力攻擊成功的可能性將大大降低。 我們建議最理想的密碼至少應為 15 ~ 20個字符且包含大小寫英文、數字及符號。可以透過我們EBuildHost的小工具 隨機密碼產生器 去產生一個隨機密碼,記得把密碼存放到安全的裝置。 2. 多重要素驗證 (2FA) 通過2FA,即使黑客已經獲得了您的登錄資料,也可以阻止黑客登錄您的帳戶。填寫密碼後,需要透過2FA密碼才能登陸,掃瞄2FA QRcode後將其登陸到您的手機中,每次登陸時需要到相關手機中查看密碼。 黑客破解您的密碼並同時訪問您的手機的可能性很小。 3. 限制登錄嘗試次數 […]
黑客常用的WordPress漏洞
我們上一篇文章 您絕對需要知道的加強WordPress網站安全性11種方法 提供了11種方法去加強您的WordPress網站安全性,今次我們來談討比較常見的WordPress漏洞及應對方案! 1. SQL資料隱碼攻擊 (SQL injection) 通過將惡意代碼注入易受攻擊的SQL請求中來執行SQL資料隱碼攻擊。黑客透過在網站發送到數據庫的消息中添加特製的請求。 成功的攻擊將會修改數據庫的查詢,以便它將返回攻擊者所需的信息,而不是網站期望的信息。依情況將會返回管理員的帳戶及密碼給黑客。 SQL資料隱碼攻擊不僅是偷偷摸摸的,而且如果黑客設法將其註入您的站點也可能非常危險。通常,這些注入是通過您用於從站點訪問者收集信息的Web表單進行的。 如果您沒有對Web表單上的所有字段提交必要的約束,則黑客將能夠插入代碼,這些代碼反過來又使他們能夠入侵您的數據庫並竊取任何可用的機密信息。 為了保護您的網站免受這些攻擊,您要做的就是永久使用參數化查詢。您的網站將具有特定的參數,以防止黑客訪問您的數據並輸入其惡意代碼。 2. 跨網站指令碼 (Cross-site scripting) 跨網站指令碼(英語:Cross-site scripting,通常簡稱為:XSS)是一種網站應用程式的安全漏洞攻擊,是代碼注入的一種。它允許惡意使用者將程式碼注入到網頁上,其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了HTML以及使用者端手稿語言。 XSS攻擊通常指的是通過利用網頁開發時留下的漏洞,通過巧妙的方法注入惡意指令代碼到網頁,使用戶載入並執行攻擊者惡意製造的網頁程式。這些惡意網頁程式通常是JavaScript,但實際上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻擊成功後,攻擊者可能得到更高的權限(如執行一些操作)、私密網頁內容、對談和cookie等各種內容。 為防止XSS攻擊,請確保訪問者沒有特權(或機會)在您網站的任何位置插入JavaScript或腳本標籤。 3. 暴力破解 暴力破解是一種利用嘗試和錯誤嘗試進入網站,是最常見的黑客手段。黑客使用自動化軟件將大量請求發送到目標。對於每個請求,該軟件都會嘗試猜測獲得訪問權限所需的信息,例如密碼或PIN碼。這些工具將能夠使用不同的IP地址和位置來偽裝,從而使目標系統難以識別和阻止這些可疑活動。 如果並沒有任何會員系統的WordPress網站最理想的做法就是開啟 2FA (Two-factor Authentication) 功能。 但一產需要會員系統的網站怎麼辦,為免令用戶體驗降低可以參考: 每三個月至少更改一次密碼並且密碼使用隨機密碼產生器去隨機產生16位包含英文大小寫、數字及符號的密碼 (記得存放到安全的位置)密碼產生器可以使用EBuildHost的 隨機密碼產生器 結論: 以上3款是比較常見的漏洞及修補方法,除了上面的當然還有其他的漏洞,雖然WordPress開發團隊不斷更新及修補漏洞,但總會有一些漏網之魚的來不及修補,所以使用者都需要注意網路安全。 如果你喜歡這篇文章,請記得分享給你的好友,或是用電子郵件訂閱本網站,有新教學文章發佈時,我們會在第一時間通知你,也別忘了到我們的粉絲專頁幫我們點個讚。
您絕對需要知道的加強WordPress網站安全性11種方法。
眾所周知,WordPress是各地黑客最喜歡的產品,因為即使您並沒有任何相關網站知識,你都能夠建立一個網站或部落格出來,如果您不想網站被黑客做壞壞的事情,立即參考以下的11種方法重新設定您的WordPress網站吧!! 1. 使用複雜安全性高的密碼 不要再用純英文,純數字的密碼!!最好是用隨機密碼產生器去產生一個密碼存放到安全的地方,如果不想用密碼產生器?那請按這個格式去建立密碼吧!*(8至14位字元、包含大小寫英文、數字及符號)*如果想更加安全?可以使用我們EBuildHost的小工具 隨機密碼產生器 去隨機生成密碼吧 2. 更改WordPress的後台登陸URL 大部份的WordPress網站都使用預設的登陸網址從而大大增加網站被撞密碼的機會。馬上更改做自定義的URL吧! 可以透過 Lockdown WP Admin 插件更改。 3. 減少使用常見的管理員帳戶及管理員權限 還在使用admin、root、user、cs、域名這樣的管理員帳戶?我們建議馬上到網站後台裹「帳號」立即新增一個新的「管理員」權限帳號,再把原本的管理員帳號刪掉。 以及請勿使用後台管理員做文章作者,因為只要作者鏈接被發現就能夠繞過網站後台直接登陸,輕則幫您刪刪文章,重則整個網站掛掉也是有可能的,建議將文章寫手獨立一個帳戶及權限調整做【作者】 4. 盡量保持WordPress、主題、插件都在最新版本 當然全部保持最新版本於安全性來看是最好的,但為什麼要說盡量?因為我們都知道更新了的話有可能插件A與插件B或主題產生相容性問題,養成一個習慣!做任何更新時先確定網站有備份再做任何改動吧! 5. 不要用來歷不明的插件或主題 有時候您可能會看到有一些原本需要付款的主題或插件,現在於不明來歷的網站可以免費下載,這麼好的東西我要立即下載!!!!NO!千萬不要這樣做,因為你不知道你所下載的東西是否安全,盡量選擇公信力高的網站去下載或購買吧,絕對會相對安全很多。 6. 安裝reCaptcha插件 我們推薦這個 reCaptcha 插件,這個插件免費功能已經支援很廣能夠支援到: 注冊頁面 登陸 重設密碼 文章留言 聯絡表格 評價 自定義表格 亦能夠自行選擇用Google reCaptcha那一個版本,我們比較建議是使用v3。 7. 安裝安全防禦插件 我們建議使用 wordfence ,它的免費版功能已經很廣足夠保護好您的網站。 Wordfence包括專為保護WordPress而構建的端點防火牆和惡意軟件掃描程序。Wordfence的威脅防禦源使用最新的防火牆規則,惡意軟件簽名和惡意IP地址為已被登陸到Wordfence數目庫中及以確保您的網站安全可以通過2FA和一整套附加功能去保障您的網站,Wordfence算是最全面的WordPress安全解決方案。 8. 安裝限制登陸次數插件 為免被暴力攻擊請安裝一些能夠限制登陸錯誤次數的插件,我們推薦 Loginizer 這款”免費”插件是一款防止黑客暴力破解密碼的插件,它能夠在對方 IP 嘗試登陸錯誤一定的次數時限制該IP位置登陸,可以有效地改善被暴力破壞密碼的情況。 雖然Wordfence也有類似的功能,但專業版的Loginizer亦具有Wordfence沒有的功能: 禁用XML-RPC 重命名XML-RPC 防止Pingback […]