現在只要一開站,就有無數的「機器人(爬蟲、Bot)」來光臨,而一個內容網站機器人通常應該要比真人瀏覽來得少,如果這比例失衡,滿有可能「網站正在被攻擊」。 面對這種「可能的」攻擊,就要做出防範,以免問題擴大。 後果: 因為太多機器人請求網站,導致網站主機資源不足,停止服務(DDoS攻擊)。 網站已經有 …
分類彙整: 資訊安全
[WordPress] 通過 OWASP ZAP 黑箱安全性檢測的幾個要點
最近有一個網站要上線,上線前需要通過「無障礙設計」與「OWASP Top 10」的資安風險檢測。 無障礙設計交給前端同事對照 NCC 檢測工具 Freego 離線測試,顯示有問題的部分就修正與重新檢測,直到都通過給出報告。 通常會掃到一堆問題,但因為頁面很多重複性區塊,所以不用覺得灰心,逐一修正,問 …
[Gandi] SSL 憑證購買與安裝體驗
剛用 Gandi 買 SSL 來用的體驗還不錯耶!算是他們家 Domain 網域服務之外可以推薦的服務了XD 驗證網域的方式也有 CNAME 紀錄的方式,滿方便的。過程就是付完錢、收個驗證信、新增那筆紀錄,等 Gandi 確認完就發憑證。 憑證頁面也能直接抓到中繼憑證來使用。 真要說缺點還是前段太過 …
[HAProxy] 搭配 Fail2ban 封鎖惡意請求的 WordPress 網站安全性設定
前面文章提到使用 HAProxy 處理高負載網站 [HAProxy] 建立 WordPress 負載平衡 Load balancing 架構筆記,這套服務會將請求轉發給後面的主機來處理請求,安全性部分要顧慮的也會更多。 續前篇,把原本伺服器架構拆成兩台,而後面這兩台拿到請求的 IP 沒解析過的話又只 …
[HAProxy] 處理憑證相關筆記:Let’s Encrypt 自動續約、default-dh-param 與 憑證串順序 等
續上篇 [HAProxy] 建立 WordPress 負載平衡 Load balancing 架構筆記 把憑證處理的部分拆到這篇來集中。 環境一樣是 Ubuntu 20.04 Server + 套件安裝的 HA-Proxy version 2.0.13-2ubuntu0.1 2020/09/08 關 …
閱讀全文〈[HAProxy] 處理憑證相關筆記:Let’s Encrypt 自動續約、default-dh-param 與 憑證串順序 等〉
[HAProxy] 建立 WordPress 負載平衡 Load balancing 架構筆記
主需求是 WordPress + WooCommerce 的購物網站原架構撐不住了,改成新的架構來處理大流量。HAProxy 架設在新開的一台主機,轉發請求的等級不用很高就能處理,效果不錯。 安裝 HAProxy 服務 主機使用 Ubuntu 20.04 Server 作業系統,搭配套件管理軟體 a …
[WordPress] 手動解決帳號被機器人暴力破解的問題
預設 WordPress 的登入只需要帳號與密碼,而預設入口有兩個: wp-login.php xmlrpc.php 有安裝 WooCommerce 的話,還有第三個: /my-account/ 的預設頁面 暴力破解是指不論帳號或是密碼,都用機器人使用字典方式輪番嘗試排列組合,試圖用這種強硬方式猜到 …
[Fail2ban] 針對 Nginx 伺服器架構下的 WordPress 資安攻擊防護
先前寫過幾篇 Fail2ban 工具的文: [Fail2ban] 同步封鎖 IP 名單至 Cloudflare 的方法(Nginx 伺服器) [WordPress] 惡意訪客不要來 – IP 封鎖清單 不過沒特別寫到針對 WordPress 網站攻擊防護的部分。一方面是自己寫的規則還總是有些誤封的情 …
[WordPress] 如何清理被駭後的 WordPress 網站
Facebook 上看到社友 Tonny 分享的這篇 How to Clean a Hacked WordPress Site。這主題大到讓人不想寫,真的能寫且又有效益的就屬資安公司了XD 撇開 Sucuri 業配自家的內容不說,雖然總結還是「找他們」,但本篇也算是認真分享做內容了。 對比我的手動操 …
[資安通報] 盡快移除網站中的「站長工具 TWCOUNT 網站流量統計」工具
今天收到委託,表示他的網站只有在「手機版」時會「被跳轉一次」到垃圾網站! 聽著就覺得很有意思,趕快來查查~ 結果怎麼試還真的就很難再次觸發條件,判斷這是網站上安插的外部 Script 有問題。要檢測的話需要個別撤除來除錯,跟委託人表示過這個可能後,他馬上就找到一個可能的資源: TWCOUNT 站長工 …