WordPress日志404访问记录

博客每天各种php脚本和不知名的路径访问也许是搜索引擎,又可能是0day攻击,在此记录告诉搜索过来的人

部分文件路径

/hh.php
/c.php
/vuln.php
/she.php
/pe.php
/vuln1.php
/test.php
/.well-known/security.txt
/Public/Wchat/js/cvphp.js

安全措施

1. 选择一个好的空间

好的空间至关重要,像阿里腾讯......什么的

2. 备份

网站只能预防被黑,最重要的就是备份。当网站完成后,保持一定频率的备份是非常重要的。万一被黑,还可以利用备份资料把网站恢复,把损失降低到最少。(可以开启宝塔的自动备份)如果网站更新较频繁,就每周一次备份。如果网站更新不多,那一个月备份一次即可。具体频率自己把握

3. wordpress后台账号密码设置复杂

有很多朋友喜欢直接用admin或邮箱做后台账号,密码就123456或其他常用的密码,这样都容易被弱口令破解。被黑有一种方法就是撞库,当你其他地方的密码泄露时,就被用来试探你其他平台上的账号。所以为了避免这种情况,账号和密码都要独一无二的设置,越复杂越好!

4.不要装来历不明的插件或者长期未更新的插件

有很多插件几年都未更新,这类插件建议不要安装,因为它可能会有很多漏洞,这样给不法分子造成机会。另外就是破解的付费插件,有可能存在后台的应还或黑链,直接性的影响网站安全。

5.网站的VPS空间改掉SSH端口

关闭网站不必要的端口,并且把ssh的ROOt密码设置的复杂些。

wp-login.php访问限制

1.更改主题文件functions.php文件

直接在主题目录的functions.php中添加以下代码即可

add_action('login_enqueue_scripts','cracker');
function cracker(){
    if($_GET['test']!= 'xxx') header('Location:http://www.baidu.com');
}

这样直接访问www.xxx.com/wp-login.php,就会自动跳到百度首页。
真正的地址是www.xxx.com/wp-login.php?test=xxx

版权声明:
作者:小和
链接:https://www.xhfun.cn/wordpress0day404.html
来源:小和Fun
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
打赏
< <上一篇
下一篇>>
文章目录
关闭
目 录