WordPress安全:禁止通过URL直接访问PHP文件
WordPress 的wp-content、wp-includes目录有用户安装的主题、插件和 WordPress 核心文件,为了避免 PHP 文件出现安全漏洞风险,我们最好通过设置 Nginx 规则,禁止用户可以通过 URL 直接访问 PHP 文件。 设置 Ng ...
WordPress安全:禁用Pingbacks和Trackbacks
Pingbacks和Trackbacks是两种 Web 日志系统中用于实现博客之间相互通知的功能。Pingbacks 是 WordPress 特有的功能,它允许其他博客系统自动通知你的博客文章中的链接。Trackbacks 是另一种博客系统使用的通知机 ...
WordPress安全:禁用EditURI功能,移除EditURI链接
WordPress EditURI 功能允许在页面头部添加 EditURI 链接,可以使用外部编辑器(如Windows Live Writer)在 WordPress 中编辑文章。这个链接是自动添加到页面头部中的,包括一个表示服务端点的 URL 和一个类型为 ...
WordPress安全:禁用shortlink功能并禁止(?p=文章ID)跳转
WordPress 的shortlink功能是一种内置的功能,用于在页面头部添加一个短链接(Shortlink),用于代替长链接(Permalink)。也就是通过在域名后面加?p=123就能访问对 ID 为 123 的文章。 这对通过遍历ID采集网站 ...
WordPress安全:禁用和移除 generator 功能
WordPress 的 generator 功能是一种内置的功能,用于在页面头部添加一个meta标签,用于显示当前网站所使用的 WordPress 版本号。这个 meta 标签通常的格式如下: 在某些情况下,你可能希望禁用或移除 WordPress ...
WordPress安全:移除或禁用wlwmanifest功能
wlwmanifest 是 WordPress 中的一个功能,用于支持 Windows Live Writer(WLW)应用程序。Windows Live Writer 是一种用于编写和发布博客文章的桌面应用程序,它可以与 WordPress 博客集成,并使用 wlwmanifest ...
WordPress安全:完全禁用RSS Feed和ATOM Feed功能
WordPress 的 Feed 功能可以用来生成 RSS(Really Simple Syndication)和 ATOM(Atom Syndication Format)格式的内容,使得读者可以通过订阅来获取网站上的最新文章和页面。然而在当前时代,几乎没人会用订阅 ...
WordPress安全:禁用REST API功能,移除REST API链接
使用 Chrome 浏览器检查 WordPress 页面的源代吗,你可能会发现一些类似的链接,这是 WordPress 默认开启的 REST API 自动生成的链接。它能够提供一些功能,但也会带来一些 WordPress安全 风险。 1. REST API介 ...
WordPress 禁止密码重置找回功能
对于只允许使用手机号验证码注册和登录的 WordPress 而言,密码重置或找回功能就没啥用处了,可以直接禁止此功能。 代码部署 在主题functions.php文件底部,添加如下代码,保存后生效。 function disable_passwo ...
WordPress 在用户注册账号时增加问题验证功能,可减少或禁止生成垃圾邮箱账号
WordPress 开启用户注册功能后,就能通过访问 域名/wp-login.php?action=register 使用电子邮箱来注册网站账号了,为了减少被机器人批量注册账号,或禁止用户使用邮箱注册账号,可以在用户注册账号时增加问题验 ...
WordPress 安全:限制同 IP 对 admin-ajax、wp-login 等任意 URL 的访问频率
限制对 WordPress 特定网址的访问频率,比如一个 IP 地址每秒只能访问一次,每分钟一次,甚至每小时一次,可以有利避免对 wp-login.php 进行暴力破解登录、对 admin-ajax.php 恶意提交文章评论、刷手机短信验证 ...
WordPress 使用 Nginx 限制每个 IP 地址访问 URL 的频率
在保护 API 接口、阻止暴力破解和预防 CC 攻击等方面,我们希望限制单个 IP 访问 URL 的频率,比如每秒只能请求一次,或每分钟访问一次等,Nginx 的 limit_req_zone 可以实现限制请求速率的需求。虫子菌将以宝塔 ...
