前面文章提到使用 HAProxy 處理高負載網站 [HAProxy] 建立 WordPress 負載平衡 Load balancing 架構筆記,這套服務會將請求轉發給後面的主機來處理請求,安全性部分要顧慮的也會更多。 續前篇,把原本伺服器架構拆成兩台,而後面這兩台拿到請求的 IP 沒解析過的話又只 …
標籤彙整: 網站防駭
[WordPress] 手動解決帳號被機器人暴力破解的問題
預設 WordPress 的登入只需要帳號與密碼,而預設入口有兩個: wp-login.php xmlrpc.php 有安裝 WooCommerce 的話,還有第三個: /my-account/ 的預設頁面 暴力破解是指不論帳號或是密碼,都用機器人使用字典方式輪番嘗試排列組合,試圖用這種強硬方式猜到 …
[VPS] PHP 網站資訊安全之 .user.ini 檔案與 open_basedir 參數
網站能不能保證不會被 Hack ?這點實在是很難。 但是網站被 Hack 的有限,卻是很基本的設定,而很多人可能不知道。 PHP 5.3 版之後加入了一個「以資料夾為設定單位基礎的設定方式」叫做 .user.ini (預設檔案名稱) 這個檔案可以為這個資料夾下的 PHP 程式檔案圈出一個「執行範圍( …
[WordPress] 把壞請求給拿去烤了!BBQ: Block Bad Queries
防火牆有很多種,這款 BBQ: Block Bad Queries 號稱快速過濾請求,並且安裝上啟用後就有效果。 針對請求特徵來判斷是否為惡意請求,看起來滿適合對這方面不懂設定但又想讓網站安全有保障的 WordPress 用戶使用。 其實大多防火牆外掛安裝好啟用後都會要求伺服器設定搭配修改 .use …