找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 3111|回复: 1

[分享] 关于WordPress pingback被利用对外攻击的防范措施

[复制链接]
发表于 2016-8-5 10:55:28 | 显示全部楼层 |阅读模式 来自 中国–河南

最近观测发现,有大量的wordpress程序网站有对外发包攻击别人的情况,导致服务器资源耗尽,带宽跑满,网站直接瘫痪,经核实,是wordpress的pingback被利用导致的,日志里面有大量的相关记录。

关闭pingback功能

pingback在wordpress简体中文中译作“引用”,原本用途是通知对方这个地方有和你相关的信息。但却被黑客大面积利用进行攻击,所以直接建议进行关闭,操作方法:

登陆网站后台 --> 设置--> 讨论 --> 接受从其它博客的链接通知(pingback和trackback)

在这里将勾选去掉并保存,如下图所示:


并使用phpmyadmin在线管理mysql,在sql中执行以下语句:

UPDATE wp_posts SET 'ping_status' = 'closed';

另外可以将下面的代码添加到主题目录的functions.php文件中。


add_filter( 'xmlrpc_methods', function( $methods ) {

   unset( $methods['pingback.ping'] );

   return $methods;} );


防范wordpress pingback对自己网站攻击:

需要阻止wordpress pingback攻击,可以利用rewrite设置屏蔽wordpress的U-AGENT请求。

HTTP_USER_AGENT头信息这行填写WordPress。

即RewriteCond %{HTTP_USER_AGENT} "WordPress" [NC]

示例(linux下规则):


RewriteEngine On
#Block WordPress
RRewriteCond %{HTTP_USER_AGENT} "WordPress" [NC]
RewriteRule (.*) - [F]

利用规则屏蔽并不能完全解决,攻击量太多还是会导致网站瘫痪。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

发帖求助前要善用【论坛搜索】功能,那里可能会有你要找的答案;

如何回报帮助你解决问题的坛友,好办法就是点击帖子下方的评分按钮给对方加【金币】不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2016-9-18 21:20:44 | 显示全部楼层 来自 中国–江西–赣州
这么恐怖 好好注意一下

发帖求助前要善用【论坛搜索】功能,那里可能会有你要找的答案;

如何回报帮助你解决问题的坛友,好办法就是点击帖子下方的评分按钮给对方加【金币】不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则 需要先绑定手机号

关闭

站长推荐上一条 /1 下一条

QQ|侵权投诉|广告报价|手机版|小黑屋|西部数码代理|飘仙建站论坛 ( 豫ICP备2022021143号-1 )

GMT+8, 2024-12-23 11:11 , Processed in 0.043597 second(s), 8 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表