很多网友使用Apache主机的时候都会自己定义403和404信息主页。然后在 .htaccess 文件中进行设置。如下面这种: <Files 403.shtml> order allow,deny allow fro ...
网络安全
Apache主机使用CDN后如何屏蔽透过CDN访问的真实IP地址
以前写过一篇关于《Windows主机使用CDN后如何屏蔽透过CDN访问的真实IP地址》的文章。那篇文章针对的是Windows主机使用CDN后屏蔽真实来访IP。此篇文章对应的是 Apache 主机使用CDN的情况,即使用Apach ...
如何安全地使用静态缓存插件+CDN服务,防止WordPress评论者信息泄露?
其实 “静态缓存插件+CDN服务”这个组合是很多人优化网页青睐的选择。但是这里必须考虑缓存静态化 和(或)CDN 服务对登录用户/管理员、以及评论者信息(用户名、邮箱和填写的URL地址)带来的影响:设置错误,有可能暴露给公众。 ...
Windows主机使用CDN后如何屏蔽透过CDN访问的真实IP地址
对于使用 WordPress 和 Windows主机的用户来说,如果不使用 CDN,我们可以直接通过 REMOTE_ADDR 在 web.config 文件中屏蔽一些来访的IP地址,例如: <add input="{REM ...
由于安全原因,从https网页跳转到http网页时无法获取referrer信息
最近遇到了这个问题,即想通过 referrer 追踪某网页的来源,结果发现有些来源无法实现,因为设置 referrer 时并不能抓取到,找了好半天原因,终于发现了:从 https 跳转到 http 时,https 中的 refe ...
禁止非常讨厌的幻灯片插件RevSlider漏洞扫描
今天发现一个IP地址为 124.114.229.80 的电脑正在扫描我的服务器漏洞,服务器防火墙进行了拦截。 就是扫描幻灯片插件 RevSlider 的漏洞,使用类似于这个 URL 地址 http://localhost/adm ...
什么是Secure Sockets Layer (SSL)?
安全套接字层(Secure Sockets Layer, SSL)是将个人信息从计算机传输到加拿大移民难民及公民部(IRCC)的安全方式。 SSL使用加密,这有助于使通过Internet发送的信息更加安全。 网上银行或购物等信息 ...
自定义WordPress评论者个人信息cookies过期时间
前一篇文章我讲了 《WordPress纯静态化后,cookie记住评论者信息的评论框不能隐藏问题》,该文章涉及到使用JavaScript代码自己编写的关于 cookies 设定代码。 其实,WordPress 系统也有自己对评论 ...
谈谈后端保护网站数据的主要方法
辛辛苦苦翻译的、写的文字很快被人原封不动剽窃、不断有莫名其妙 IP 查询不存在的网址、一些不希望看到的蜘蛛来爬取你的网站?我自己的网站和很多朋友的网站每天都在经历着大范围的令人恶心的剽窃、骚扰、攻击。怎样保护自己网站的数据、避免 ...
修补WordPress评论中的回复漏洞
前一篇文章我讲了使用 WP-Mail-SMTP 插件后,管理员回复读者的评论,读者收不到邮件提醒的问题。主要是因为该插件为了防止垃圾邮件产生,默认只给管理员发邮件,不能给非管理员发邮件。如果我们解禁了此限制,那么问题又来了:谁都 ...
给WordPress评论中管理员添加防冒充权限和管理员标志
有时候在WordPress评论中,有一些捣蛋鬼,他们用你(博主或管理员)的昵称或用你的邮件发评论来冒充你,我们不希望这种事情发生,而且我们希望把自己(博主或管理员)在评论中的昵称后面添加识别标志,让读者看清楚“是博主或管理员回复 ...
防止博客内容中的 Email 地址被采集
网站上公布了自己的电子邮件地址后,莫名其妙收到了一大堆垃圾邮件,是不是很烦恼?很可能是有人采集了你网站上的电邮地址。 有时候想在博客中向用户留言告诉他们读者的 email 地址,让用户直接通过 email 地址联系,但是这样简单 ...
过滤、转义评论代码,防止XSS攻击
XSS又叫 CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 这 ...
SQL注入攻击的介绍与防范
最近网站总受到SQL攻击,虽然这些攻击的ip都被防火墙拦截,但是看着还是很心烦。想必很多有网站的朋友都会遇到这样的问题。我在网上看到一篇讲述SQL注入攻击的文章,讲得挺详细的,与大家分享。以下是原文。 在Web1.0时代,人们更 ...
短代码功能展示作者文章列表
关掉 WordPress 默认的作者文章列表对于防止恶意扫描网站猜测用户登录名很重要。一些主题 WordPress 主题提供自定义展示作者文章列表功能。如果你想自己设计该功能,下面提供的代码可供参考:通过短代码可以实现作者文章列 ...
防盗链设置中的空Referer是什么意思?
谈论这个问题,首先要说明的是,什么是 Referer。 关于 Referer Referer 指的是 HTTP 头部的一个字段,也称为HTTP来源地址(HTTP Referer),用来表示从哪儿链接到目前的网页,采用的格式是UR ...
禁止网站被别人通过iframe引用
镜像别人网站是非常讨厌的行为。其中有一种方法采用了 iframe 框架嵌套调用,那么如何阻止被iframe 调用呢?本文将分享一些方法。 方法一:js 方法。这种方法不可靠,不推荐使用 windows.location.href ...
利用淘宝IP地址数据库屏蔽来自一些国家或地区的访问
网站有时候遇到蜘蛛或者个别国家ip的恶意骚扰、攻击,怎么办呢?对于前者,也就对于守规矩的蜘蛛,那么我们可以通过向 robots.txt 文件中添加规则来限制、禁止其爬取,但对于那些恶意蜘蛛或 IP,robots.txt 显然不适 ...
如何书写网站的robots文件
robots.txt 用于指导网络爬虫(蜘蛛、搜索引擎)访问网站指定目录,英文也称之为“The Robots Exclusion Protocol”。robots.txt 的格式采用面向行的语法:空行、注释行(以 # 打头,具体 ...
镜像别人网站是非常无耻的行为
最近发现自己的网站收录量一直下降,还以为自己的网站文章不好、优化有问题,一直百思不得其解。 昨天浏览张戈博客时意外发现有人说他的网站被镜像了,我也测试了一下自己的网站:同样被镜像了,网站内容一模一样!顿时很生气,心想:奶奶的,我 ...
禁止一些恼人的无用蜘蛛抓取网站信息
蜘蛛抓取是好事,但是一些无用的蜘蛛天天来“扫”你的网站、甚至是一些根本不存在的网页或者目录、文件,平白给网站增加负担、带来安全隐患,所以干脆写个免扰“通知”,告诉它们是不受欢迎的访客,不欢迎访问。 如下: User-agent: ...
Windows 8/Windows 8.1无法自动更新_更新失败的解决方法
Windows 系统的一贯风格就是补丁罗补丁,到了windwos 8/8.1 这一代,风格依旧没有变化。有的人喜欢手动更新,有的人则喜欢自动更新,有的人根本不在乎更新不更新。不过从个人信息安全角度来说,还是更新一下为好。但是有时 ...
如何防wordpress机器人垃圾评论
想必大家在建设自己Wordpress网站时候都遇到过垃圾评论,即使采用种种方法,依然可以看到海量垃圾评论充斥于自己的网站。为什么有这样的结果?其 ...