Tag: 安全

密码或IP地址保护 WordPress 博客的 wp-admin 目录(并且允许 admin-ajax.php)

2022年9月11日 wordpress, 小技巧, 服务器 No Comments
密码或IP地址保护 WordPress 博客的 wp-admin 目录(并且允许 admin-ajax.php)
wp-admin 文件夹是 wordpress 安装中最重要的文件夹. 它主要包含控制仪表板 Dashboard 等代码. 有一个重要的文件 admin-ajax.php 在正常的博客功能中也需要被用到, 所以单纯的屏蔽整个 wp-admin 也许会损坏一些正常的功能. 最近几天, 我收到了一些邮件警报, 因为我装了一个 Limit Login Attempts 的插件. 该插件可以在后台尝试登陆次数过多的情况下禁止该IP, 能有效避免暴力尝试破解密码 Bruteforce. 我感觉还不够保险, 于是我把 wp-admin 加上了 IP白名单访问允许列表 + …
[继续阅读……]

换手机/手机丢失后的两步验证 (Google Authenticator)

2017年11月5日 I.T., 安全, 资讯, 软件 2 Comments
两步验证 (Two Factor Authentication) 用于加强程序验证的安全性. 即使你的密码被别人破解, 那么没有手机, 你的帐号还是安全的. 启用两步验证需要绑定手机. 在第一次启用时候服务器会产生一个密钥, 用户通过扫描二维码把密钥保存到手机中, 如果更换手机, 则需要重新添加密钥. 服务器和手机都保存同一密钥, 这么一来, 在输入密码需要两步验证时, 用户需要输入验证程序中(例如 Google Authenticator)给定的6位数字. 大概原理就是: 6位验证码= HASH(密钥+ 当前时间戳/30秒) 6位验证码默认30秒内有效. 服务器只需要验证生成的6位验证码30秒内是否一样就知道手机是否存有同样的密钥. 如果每次都要通过手机上两步验证来输入6位验证码挺麻烦的, 所以网站一般都会提供 “请记住我30天” 或者 …
[继续阅读……]

安全知识: 自行车一定不要逆着车道行驶

2017年7月22日 安全, 生活, 资讯 2 Comments
安全知识: 自行车一定不要逆着车道行驶
剑桥大多平地(不像谢村高地坡很多), 而且剑桥不缺绿地蓝天, 很适合骑自行车. 但英国骑自行车相对危险, 因为很多时候没有专门的自行车道, 很容易出事故. 除了一些设备要齐全(头盔 夜光衣和夜光灯), 骑车的时候一定不要逆着车道行驶, 因为剑桥很多弯弯曲曲的路, 逆着车道行驶很容易撞上拐弯迎面而上的车辆. 剑桥很多小路边上都有很多鲜花, 我朋友笑说这是为了纪念被车撞的自行车/骑者, 后来才知识 这是真的. 在剑桥骑车很舒服, 但是安全第一. 特别是英国路窄, 而且还经常下雨, 雨天路滑, 有时候生死就一瞬间的事, 还有再啰嗦一下, 一定要戴头盔还有穿衣光衣. Don’t ride the bicycle in the …
[继续阅读……]

记一次服务器 DDOS 经历

2017年2月8日 安全, 技术, 折腾, 服务器, 运维 18 Comments
记一次服务器 DDOS 经历
DDOS 就是 分布式拒绝服务 攻击. 英文是 Distributed DoS attack. A distributed denial-of-service (DDoS) DDOS 是什么? 简单来说就是网上很多肉机(有安全漏洞的机器被控制) 同时大量的向同一台主机发起请求 然后因为量大密集 所以很容易造成服务器CPU内存等资源耗尽而宕机, 也就是停止服务. 怎么样防止DDOS? 千万不要在网上暴露你服务器的IP地址, 因为攻击指定IP地址目标可确定多了. 服务器的安全措施得做好, 比如禁用 root 远程帐号 并定期安装安全补丁, 保持服务器安全水平. 如果可能 …
[继续阅读……]

CLOUDFLARE 又有免费的保护可用 – DNSSEC

2015年11月12日 CloudFlare, 互联网, 折腾, 网站信息与统计 4 Comments
CLOUDFLARE 又有免费的保护可用 – DNSSEC
收到CLOUDFLARE邮件 说是有一个复杂的东东 DNSSEC 可以免费使用 保护 DNS解释 不受污染 我没搞懂什么原理 估计就是 DNS KEY的哈希码 用于唯一标识域名的合法性吧. 设置起来还算简单 需要在控制面版里点击 Enable DNSSEC 然后 到域名管理 比如我用的是 NameSilo 里 的DS Records (DNSSEC)里加入一条DS记录就可以. 设置有延时 一般来说就是等 DSN记录更新. 成功之后 也可以点击 …
[继续阅读……]

CLOUDFLARE 高安全阻止可疑的URL

2015年11月3日 LINUX, 互联网, 安全, 技术, 网站信息与统计 1 Comment
CLOUDFLARE 高安全阻止可疑的URL
在CLOUDFLARE里 我设置安全级别为高 – 这样当有可疑的URL的时候 比如https://helloacm.com/figlet/?url=abc+%7C+ls+-l CLOUDFLARE就认为这个网址很可疑 因为带有参数里含有 LINUX命令 经常被用来当做攻击的第一步. 页面就会被重定向到: 在PHP代码里可以使用函数 php function escapeshellcmd 来过滤命令 或者 escapeshellarg 来过滤参数. 当然也可以通过 单引号 来进行简单过滤 LINUX下单引号内的字符是不进行转意的. function removeCmd($str) { return "'".str_replace('\'', '', $str)."'"; …
[继续阅读……]

推荐的 WORDPRESS 文件夹权限设置

2015年7月7日 LINUX, wordpress, 网站信息与统计 No Comments
如果你用WORDPRESS并把主机建在LINUX系统下 那么文件夹的权限管理就得非常严谨. 一定不要把所有文件/文件夹的属性设置成777(也就是任何人可读写可执行). 这样能防止被恶意或者不小心的对文件的修改. /wp-includes = 755 /wp-admin = 755 /wp-admin/js = 755 wp-content/thems = 755 wp-content/plugins = 755 wp-content = 755 wp-content/uploads = 755 wp-config.php = 444 .htaccess …
[继续阅读……]