最近在网站日志中看到很多有wlwmanifest.xml 的访问记录,感觉不像是正常用户访问,请问什么是wlwmanifest.xml,它对网站安全有什么影响?其实,这是有人在通过这种访问来试探你的网站是否由wordpress程序搭建,以及你网站的后台登录地址,确认之后就可以有针对性的进行攻击了。
比如说对方可以再通过 /wp-json/wp/v2/users/ 的URL进行GET,这样99%会返回一串信息,里面包含了你的管理员账户。
既然知道了这种访问是不怀好意,那么我们怎么防护呢?
1、首先,我们可以先通过宝塔面板后台将对方的ip地址进行屏蔽,但是这个只是治标的方法,接下来我们还要治本。
2、修改wordpress的默认网站登录地址。
3、宝塔面板+Nginx设置访问权限,禁止访问/wp-json/wp/v2/users/和wlwmanifest.xml。
通过宝塔面板——网站——设置——伪静态:
最后这个xmlrpc是否禁用根据自己需要,如果出现升级错误,那么可以删除掉或者禁用掉代码即可。WordPress作为全球最受欢迎的开源建站程序,自然是树大招风,会引来很多不怀好意的觊觎,我们作为建站者其实也不用太多担心,只要平时注意做好防护,网站的安全是没有问题的。
© 版权声明
【站长推荐】购买会员可免费下载全站资源。【提示】本站只提供资源,不提供技术支持,介意勿下!!【公告】没有基础小白不要下载,站长不教!!
本站提供的资源,都来自网络,版权争议与本站无关,所有内容及软件的文章仅限用于学习和研究目的。不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负,我们不保证内容的长久可用性,通过使用本站内容随之而来的风险与本站无关,您必须在下载后的24个小时之内,从您的电脑/手机中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如果有侵权之处请第一时间联系我们删除。敬请谅解! E-mail:jiebeih@foxmail.com
本站提供的资源,都来自网络,版权争议与本站无关,所有内容及软件的文章仅限用于学习和研究目的。不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负,我们不保证内容的长久可用性,通过使用本站内容随之而来的风险与本站无关,您必须在下载后的24个小时之内,从您的电脑/手机中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如果有侵权之处请第一时间联系我们删除。敬请谅解! E-mail:jiebeih@foxmail.com
THE END
暂无评论内容