Otse sisu

Pingbacki haavatavus: kuidas oma WordPressi saiti kaitsta

Tagasivaated võivad anda teile heads-upi, kui teie postitustest räägivad erinevad isikud. Nad võivad tuua ka otsingumootori optimeerimise (otsingumootori optimeerimine) kasvu kasulike lingide abil ja suurendada teie veebisaidi klientide teadmisi. Kuid tagasipöördumised võivad aidata häkkeritel ka teie veebisaidile vastaselt rünnakuid levitada jaotatud teenuse keelamise (DDoS).

Õnneks, kui otsustate, et ohud kaaluvad palju üle eelised, on pingbackide keelamine võimalik. Blokeerides selle vastuolulise WordPressi omaduse aluseks oleva XML-RPC protsessi, võite varjata oma veebisaidi DDoS-i rünnakute vastu ja hoida seisakuid eemal.

Selles tekstis heidame pilgu sellele, miks pingbacks võib teie veebisaidi ohtu seada ja kuidas saab uurida, kas XML-RPC on teie konkreetsel WordPressi veebisaidil lubatud või mitte. Seejärel jagame kolme strateegiat selle potentsiaalselt ohtliku jõudluse keelamiseks. Alustame!

Sissejuhatus WordPressi tagasipakkumistesse

Tagasivaated on teated, mis tunduvad teie veebisaidil kommentaaride sektsioon. Nad juhivad tähelepanu sellele, et üks teine ​​veebisait on teie sisumaterjaliga uuesti linkinud:

Pingbacki näide.

WordPressis on pingbacks vaikimisi lubatud. See aitab teil jälgida sissetulevaid hüperlinke. Seejärel saate vastavalt igale pingbackile vastata. Näiteks võite kasutada seda võimalust, et suhelda tagasilingi pakkumisega kõigi nende postituste tagasisideosas. See võib ka aidata oma mainet kasvatama meeldiva, ligipääsetava sisumaterjali loojana.

Lisaks, kui mõni teine ​​veebisait mainib teie sisumaterjali positiivselt, on teised teie otsustada selle kohta teada saada. Saate nende avaldamist võimendada, jagades seda oma inimese kaudu sotsiaalsed võrgustikud.

Kahjuks pole kindlust, et igaüks mainib tõenäoliselt konstruktiivset. Kuid tavaliselt saate oma avalikku profiili täiendada negatiivsetele mainimistele vastamine, suhteliselt lihtsalt nende ignoreerimine.

Pingbacks võib ka juhtida liiklust oma veebisaidile, kuna inimesed järgivad neid sissetulevaid hüperlinke teie sisumaterjalile. Lisaks on lingid paljude serpide reitinguküsimuseks. Kui ohutute arvukate tagasipöördumistega, võib see suurendada teie paremusjärjestust ja loomulikke külastajaid.

Kahjuks on tagasipöördumistel tummine aspekt. WordPress kasutab XML-RPC liides lubada neil, mida häkkerid saavad aga kasutada, levitada levitatud teenuse keelamise (DDoS) rünnakut teie veebisaidi vastu.

Selle rünnaku osana kasutab häkker XML-RPC-d, et saata lühikese aja jooksul teie veebisaidile palju tagasisidet. See koormab teie serveri üle ja viib teie veebisaidi võrguühenduseta. Tulemused võiksid kehastuda kallis seisuaeg ja väheneda ümberarvestuskursid.

Häkkerid võivad kasutada ka tagasipöördumisi, et avalikustada kaitstud WordPressi loodud üldine IP-aadress ja seadistada kõik domeeninimede süsteemi (DNS) turvalisuse tasemed. Mõni pahatahtlik sündmus kasutab isegi tagasisidet nõrkade avatud sadamate otsimiseks. Kõike seda mõeldes on võimalik, et soovite selle omaduse keelamise oma WordPressi veebisaidil arvesse võtta.

Kuidas uurida oma veebisaidi XML-RPC-d, kas pingbacks on lubatud?

Alates WordPress 3.5-st on XML-RPC liides vaikimisi lubatud. Kuid pole kindlat, et see võib WordPressi järgnevates variatsioonides nii jääda. Kui jagate oma WordPressi veebisaiti teised kaastöötajad, lisaks on võimalus, et nad võivad teie andmeid XML-RPC seadeid muuta.

Enne XML-RPC keelamist on alati väärtus kontrollida, kas see liides on teie konkreetsel WordPressi veebisaidil lubatud. Võite kiiresti ja lihtsalt uurida selle seisukorda, kasutades XML-RPC valideerija tööriist:

XML-RPC valideerimise tööriist.

aasta Aadress sisestage oma veebisaidi URL. Seejärel klõpsake nuppu Vaata. Kui seade Validator kuvab tõrketeate, tähendab see, et XML-RPC on keelatud. Kui tabate tabamussõnumit, on võimalik arvestada pingbackide keelamisega, et kaitsta oma veebisaiti seonduvate rünnakute vastu.

Kuidas kaitsta oma veebisaiti vastupidi WordPressi pingbacki haavatavusele (3 meetodit)

WordPress muudab tulevaste postituste tagasipakkumiste keelamise lihtsaks. Lihtsalt navigeerige Seaded> Arutelu juhtpaneelil ja tühistage seonduvate valikute valik:

Pingback arutelu seade.

Võite keelata ka redaktori teatud postituste tagasipakkumised:

Postitaseme pingbacki säte.

Kuid selleks, et kogu veebisaidil pingbacks täielikult keelata, peate tegema mõned täiendavad sammud. Oma eesmärkide ja talentide etapil toetudes võite seda teha veel paaril viisil.

1. meetod: keelake XML-RPC käsitsi

Saate blokeerida kõik saabuvad XML-RPC taotlused varem, kui need WordPressile antakse. See tehnika nõuab teil muutmist .htaccess, mis on konfiguratsioonifail, mis annab teie serverile teada, kuidas arvukate taotlustega toime tulla. Kui te ei muuda oma veebisaiti kodeerimisjärgus, soovitame proovida ühte paljudest erinevatest strateegiatest.

Enne oma .htaccess faili, see on mõistlik mõte looge täielik varukoopia. Isegi lihtsad vead, mis sarnanevad kirjavigadega, on teie veebisaidi koodi muutmisel katastroofilised. Varukoopia tegemisel on teil üks asi uuesti ellu äratada, lihtsalt juhul, kui teil on mingeid punkte.

Võite sisestada .htaccess kasutades oma enim meeldinud File Transfer Protocol (FTP) tarbija. Me kasutame ära FileZilla, kuid sammud peavad olema laialt levinud instrumentide puhul suures osas identsed. Kui teie klient on teie serveriga seotud, leidke .htaccess oma veebisaidi juurkaustas:

Juurdepääs .htaccessile FileZilla kaudu.

Kui aluskaust ei sisalda a .htaccess faili, on võimalik, et soovite oma tarbija välja valida Jõud varjatud teavet kuvama võimalus.

Järgmisena avage .htaccess tekstiredaktoris sarnaselt teksti redigeerimisega. Lisage järgmine:

<Files xmlrpc.php>
order deny,enable
deny from all
</Files>

Seejärel salvestage oma muudatused. Selle kinnitamiseks, et XML-RPC on nüüd keelatud, proovige veel kord töötada oma võrgutõrje abil XML-RPC Validatori seadmega. See peaks nüüd näitama veateadet.

2. meetod: lülitage tagasilöök koodilõiguga välja

Võite ka XML-RPC liidese selle abil sisse ja välja lülitada koodilõigud. Koodijupid on kasulik lähenemisviis, et lisada oma veebisaidile mitmesuguseid funktsioone, ilma et peaksite lisama mitmeid pistikprogramme. Teie veebisaidi pistikprogrammide mitmekesisuse minimeerimine on võimalik muudavad selle hooldamise lihtsamaks ja võib lisaks parandada selle üldist turvalisust.

WP-i kliendid saavad koodijuppe lisada otse oma juhtpaneelidelt. Pärast oma kontole sisse logides, navigeerige Rohkem tööriistu> Koodijupid:

Pingbacki jupi lisamine juhtpaneelile ManageWP.

Nüüd saate järgmise koodi kleepida ManageWP koodilõigude redaktorisse:

<?php
//Disable XML-RPC
add_filter('xmlrpc_enabled', '__return_true');

Teise võimalusena võite selle koodilõigu oma veebisaidile lisada, kasutades Koodijuppide pistikprogramm. Pärast selle aktiveerimist navigeerige saidile Snippet> Lisa uus:

WordPressi koodilõigu pistikprogramm.

Seejärel kopeerige ja kleepige ülaltoodud koodilõik koodiredaktorisse. Lisaks soovitame lisada ülevaade, mis selgitab selgelt, mida see koodilõik teeb ja miks lisate selle oma veebisaidile. See võib muuta teie elu lihtsamaks, kui peate kunagi oma koodilõigud uuesti läbi vaatama. Lisaks edendab see läbipaistvust, kui jagate oma WordPressi veebisaiti erinevate inimestega.

Kui olete oma koodilõiguga täiesti rahul, klõpsake nuppu edasi Activate ja uurige, kas XML-RPC on XML-RPC valideerija abil keelatud.

3. meetod: XML-RPC keelamiseks kasutage pistikprogrammi

Lõpuks võite plugina abil ka XML-RPC liidese keelata. Me kasutame ära Keela XML-RPC-API.

Pärast selle sisestamist ja aktiveerimist lülitab Keela XML-RPC-API pingbacksid tagasi, ilma et teil oleks vaja ühtegi täiendavat liikumist. Kinnituskirja saate saidilt plugins ekraan:

Keela pistikprogrammi XML-RPC-API kinnitusteade.

Kui otsustate, et soovite lihtsalt uuesti sisse lülitada XML-RPC, tuleb vaid pistikprogramm deaktiveerida.

järeldus

Kuigi tagasipöördumistel on positiivseid külgi, puutuvad need teie veebisaidile lisaks ette ka kahjulike jaotatud teenuse keelamise (DDoS) rünnakutega. Kasumlik DDoS-rünnak võib lõppeda seisakutega, külastajate valede paigutamise ja konversioonide kaotamisega koos brutomüügiga.

Nende karistustega silmitsi seistes on võimalik, et keelate tagasipakkumised. Võtame teie valikud kokku:

  1. Keela XML-RPC käsitsi.
  2. Lülitage XML-RPC välja a-ga koodijupp.
  3. Kasutage pistikprogrammi sarnast pistikprogrammi Keela XML-RPC-API.

Kas teil on WordPressi pingbacki haavatavuse vastu küsimusi oma veebisaidi kaitsmise kohta? Küsige tagasiside osa alt!

Esiletõstetud pildi krediidiskoor: Unsplash.

Sellel postitusel on 0 kommentaarid

Jäta vastus

Sinu e-postiaadressi ei avaldata. Kohustuslikud väljad on märgitud *

Tagasi üles