看過前兩篇 [WordPress] 外掛開發入門指南 與 [WordPress] 外掛基礎知識篇 – 外掛開發者都需要來讀一次的文件 後 恭喜你,你的程式碼可運作!但是它是否安全呢? WordPress 開發團隊嚴謹看待安全性。在網站設計中,安全性有極大的重要性,因此安全性也是必須要關注的核心。儘管 …
標籤彙整: 資安
[VPS] PHP 網站應用程式防火牆 WAF 實作筆記
先前筆記的 [VPS] WordPress 網站主機群防護升級的作法 、 [Nginx] 阻擋惡意請求來源(User-Agent)的方法 與 [Fail2ban] 同步 Cloudflare WAF 防火牆封鎖 IP 清單的方法 這三篇,主要都是在實作第一版 PHP WAF 網站應用程式防火牆的筆記 …
[資安] 檢舉惡意攻擊 IP 的方法
這也算是續前篇 [VPS] WordPress 網站主機群防護升級的作法 的文。 分析網站伺服器紀錄的日誌可以找到很多蛛絲馬跡,其中最直接對應到的就是攻擊者的 IP,這個「上網位置」的資源是有關單位配置使用的,也就是說,什麼時間點這個 IP 配給誰,會有紀錄。 剛好分析的時候有發現一組,不知道為啥要 …
[VPS] WordPress 網站主機群防護升級的作法
有鑒於之前主機被爬蟲給爬到高負載,這次就來自己實作一個日誌分析工具,然後考量有些網站有搭配 Cloudflare CDN 服務,不只是把惡意名單產出,還同步 Cloudflare WAF 與 Fail2ban 兩個工具整合。 過去有寫過相關的筆記文: [Fail2ban] 針對 Nginx 伺服器架 …
[WordPress] 通過 OWASP ZAP 黑箱安全性檢測的幾個要點
最近有一個網站要上線,上線前需要通過「無障礙設計」與「OWASP Top 10」的資安風險檢測。 無障礙設計交給前端同事對照 NCC 檢測工具 Freego 離線測試,顯示有問題的部分就修正與重新檢測,直到都通過給出報告。 通常會掃到一堆問題,但因為頁面很多重複性區塊,所以不用覺得灰心,逐一修正,問 …
[WordPress] 手動解決帳號被機器人暴力破解的問題
預設 WordPress 的登入只需要帳號與密碼,而預設入口有兩個: wp-login.php xmlrpc.php 有安裝 WooCommerce 的話,還有第三個: /my-account/ 的預設頁面 暴力破解是指不論帳號或是密碼,都用機器人使用字典方式輪番嘗試排列組合,試圖用這種強硬方式猜到 …
[WordPress] 如何清理被駭後的 WordPress 網站
Facebook 上看到社友 Tonny 分享的這篇 How to Clean a Hacked WordPress Site。這主題大到讓人不想寫,真的能寫且又有效益的就屬資安公司了XD 撇開 Sucuri 業配自家的內容不說,雖然總結還是「找他們」,但本篇也算是認真分享做內容了。 對比我的手動操 …
[WordPress] 根據 IP 位置地區進行封鎖的安全性外掛 – IP Geo Block
一個攻擊來自一個 IP ,攻擊一個封鎖一個有點太累。如果想要整個區域的封鎖? 那這款外掛看起來是滿有料的可以參考看看:IP Geo Block 強烈推薦可以直接封鎖俄羅斯、烏克蘭、以色列、波蘭、巴西這些國家區域的來源 IP,不為別的,就是太常從這些區域來源的攻擊了XD 評估沒有太多那邊的讀者、買家等 …