當你使用 Nginx 伺服器,啟用 HTTPS 協議但沒有設定「預設的伺服器區塊 (default server)」時,在遇到 https://IP_ADDRESS 或未知的 Host 時,會隨機(實際上是第一個)挑一個 HTTPS 虛擬主機回應。這樣做會造成: 別人輸入你的 IP 就會看到某個網站 …
分類彙整: 資訊安全
[SSL] 一次弄懂 Let’s Encrypt 以及建議使用的工具 – DNSroboCert
說到免費 SSL/TLS 憑證,應該沒人不知道 Let’s Encrypt。但知道是一回事,使用這服務又是另一回事。 以前我都是直接找教學文,照工具說明套流程取得憑證。這幾天連假找素材學習的時候就來把這玩意兒給好好瞭解一遍。 Let’s Encrypt 是起頭的組織單位,但他不是唯一一個提供這服務的 …
[WordPress] 強迫登出使用者的方法 – WP_Session_Tokens
剛好最近實作一個會員網站的功能,有一些購買行為發生後會賦予的權限新增。 但如果是登入狀態下的使用者沒有去「重新載入」一次設定就不會套用上,那使用體驗就不正確。 有時候也不一定有合適的勾點來讓程式切入作動。 那重置使用者狀態的方式就可以參考:讓他登出,重新登入來滿足觸發條件! 有個常見的例子就是換帳號 …
[WordPress] 搭配 Cloudflare WAF 規則減少網站被攻擊的幾個做法
昨天網站開始大量收到一組來自中國 IP 的請求,請求時間都很短,實屬惡意爬蟲的砍站行為。 收到警示通知後就把那整組 IP 丟給 Cloudflare WAF 防火牆功能給設定封鎖。 直到今天都還在很努力地爬,完全沒發現自己已經被封鎖了。 更多類似的資安防護操作筆記可以參考: [Fail2ban] 同 …
[WordPress] 外掛開發安全性指南 – 上架外掛前必須通過的考驗
看過前兩篇 [WordPress] 外掛開發入門指南 與 [WordPress] 外掛基礎知識篇 – 外掛開發者都需要來讀一次的文件 後 恭喜你,你的程式碼可運作!但是它是否安全呢? WordPress 開發團隊嚴謹看待安全性。在網站設計中,安全性有極大的重要性,因此安全性也是必須要關注的核心。儘管 …
[VPS] PHP 網站應用程式防火牆 WAF 實作筆記
先前筆記的 [VPS] WordPress 網站主機群防護升級的作法 、 [Nginx] 阻擋惡意請求來源(User-Agent)的方法 與 [Fail2ban] 同步 Cloudflare WAF 防火牆封鎖 IP 清單的方法 這三篇,主要都是在實作第一版 PHP WAF 網站應用程式防火牆的筆記 …
[WordPress] 開源且強大的防火牆外掛 – CIDRAM
自從寫了爬蟲撈 WordPress.org 的外掛來自己實作外掛搜尋資料庫後,我只要有看到有趣的外掛都會寫筆記在粉絲頁裡,然後同步更新網站。 就在前幾天看到 CIDRAM (Classless Inter-Domain Routing Access Manager) 這款外掛後感到驚為天人~ 想說「 …
[Fail2ban] 同步 Cloudflare WAF 防火牆封鎖 IP 清單的方法
前篇 [VPS] WordPress 網站主機群防護升級的作法 一文中提到有使用 CLoudflare CDN 的網站可以透過同步帳號間的封鎖 IP 來達到全代管帳號下的跨站跨主機間保護。 寫文當前已經累積 4505 個惡意封鎖的 IP 了 但礙於篇幅,把「Fail2ban 同步封鎖 IP 清單的方 …
[資安] 檢舉惡意攻擊 IP 的方法
這也算是續前篇 [VPS] WordPress 網站主機群防護升級的作法 的文。 分析網站伺服器紀錄的日誌可以找到很多蛛絲馬跡,其中最直接對應到的就是攻擊者的 IP,這個「上網位置」的資源是有關單位配置使用的,也就是說,什麼時間點這個 IP 配給誰,會有紀錄。 剛好分析的時候有發現一組,不知道為啥要 …
[VPS] WordPress 網站主機群防護升級的作法
有鑒於之前主機被爬蟲給爬到高負載,這次就來自己實作一個日誌分析工具,然後考量有些網站有搭配 Cloudflare CDN 服務,不只是把惡意名單產出,還同步 Cloudflare WAF 與 Fail2ban 兩個工具整合。 過去有寫過相關的筆記文: [Fail2ban] 針對 Nginx 伺服器架 …