早在 2015 年時已有一篇討論目錄結構的文章提到 WordPress 通俗的目錄結構(wp-開頭)是脆弱的,但可以透過內建常數定義的方式做修正。 每次有重大安全性事件發生,這個「隱藏身為 WordPress」的話題也隨之會被拿出來討論,不為別的,就是比較根本一點的藏起來系統組成,自然也提高安全性, …
分類彙整: 資訊安全
[HTTPS] 圖文解說 HTTPS 機制 – 也许,这样理解HTTPS更容易
作者:翟志军 摘要:本文尝试一步步还原HTTPS的设计过程,以理解为什么HTTPS最终会是这副模样。但是这并不代表HTTPS的真实设计过程。在阅读本文时,你可以尝试放下已有的对HTTPS的理解,这样更利于“还原”过程。 我们先不了聊HTTP,HTTPS,我们先从一个聊天软件说起,我们要实现A能发一个 …
[WordPress] 防毒防駭外掛的幾個選擇筆記
預防勝於治療,這句話我說從下面這幾款外掛的下載量也感覺得到XD 動不動就幾十萬、上百萬是怎樣! 比一般外掛多出個上百倍一點也不誇張啊。下面僅僅是剛好把書籤裡筆記的幾款拿出來紀錄,常用外掛清單裡只會留兩款(輕盈、功能最猛),對我來說都是大同小異,真要出事還是會出事 Der ~ Wordfence 名字 …
[WordPress] 網站被駭後的處理流程
這圖會不會讓人覺得我是被害者啊XD 首先要知道是從哪裡被駭客入侵的,常見檢查得點有三個,也代表其對應嚴重程度,越後面越嚴重。 主題目錄下 404.php 是否有異常程式注入。這通常是主題本身年久失修(或使用者沒更新)。安插在這邊純粹就是要先藏好,不讓使用者觀察到! WordPress 根目錄下的 i …
[HTTPS] 安全加密連線的加速做法:HSTS preload
剛用 SSLLab 的SSLTest工具測了才發現他有提示可以加入 HSTS Preload List ,讓瀏覽器於訪問網站時避免先經過 HTTP 的交握才跑到 HTTPS。 詳細說明可以參考這篇文章:解决缺陷,让HSTS变得完美 寫得滿清楚的! 各大主流瀏覽器會照這名單於瀏覽該網站時將網站交握的協 …
[WordPress] HTTP 與 HTTPS 協定兼容的設定
Beginning in January 2017 (Chrome 56), we’ll mark HTTP pages that collect passwords or credit cards as non-secure, as part of a long-term plan to mark …
Ubuntu 12.04 / 14.04 編譯升級 OpenSSL 至最新版本
自己的伺服器 Ubuntu 版本還在 14.04,如果使用了 Nginx 的 http2 模組還沒能完全打開任督二脈,往 ALPN 前進。 註:編譯安裝 Nginx 的時候,就算有 –with-http_v2_module 參數,也會因為系統自帶的 OpenSSL 版本低於 1.0.2 而無法支援 …
LINE Bot 機器人 Trial API 試用 – 2016/10/05 更新
2016/10/05 更新 前陣子 Line 的開發者大會(2016/09/29)開放新的 Messaging API ,隔一天開始用新的 SDK 開發看看改良這隻機器人,沒想到還有問題,事隔今日再次測試,穩定度就出來了,大概是直接要商用了,所以效能好很多吧,但是也沒給開發者一點空間,需月付一筆金額 …
駭客攻防 – DDoS的 CC 攻擊阻擋
昨天滑Facebook看到 WordPress 社群中有人提出他的網站服務正在遭受阻斷服務攻擊(DDoS),這是一種藉由大量請求,導致伺服器效能緊繃無法服務正常人的一種攻擊手法。 而CC 攻擊的手法說白了就是躲在代理伺服器(Proxy)後面來發送請求,因為代理伺服器的list不少,請求的資源也廣(尤 …
當 IE8 IE9 碰到 AJAX 跨域請求 Cross Origin Resource Sharing (CORS)
就會爆炸拉~ 現在 PC 中還配備著 IE9 含以下版本瀏覽器的,扣除不常使用的族群(不會去更新)大概就剩 銀行 與 政府 為多數了 Orz 要做銀行活動的案子,通常就是要求前端視覺要夠力,而後輔助功能要fancy,輔助功能會動到後端的大多就是填表單做問卷之類的,然後這一類後端功能在活動前期會要求廠 …
閱讀全文〈當 IE8 IE9 碰到 AJAX 跨域請求 Cross Origin Resource Sharing (CORS)〉