最有效的网站攻击手段竟然是它?

194次阅读
2条评论

请原谅我使用 UC 震惊体,因为今早查看网站访客统计报告,我有被乌鱼子到了,请看 VCR:

最有效的网站攻击手段竟然是它?
P1.最有效的网站攻击手段竟然是它?
© 由 IT摇篮曲 提供

“吊州”的朋友,你在哪里,你还好吗?我的小破站这么的人畜无害、楚楚动人,你怎么忍心想要伤害它┭┮﹏┭┮。

当然,话说回来,虽然有点让人无语,但想想还是有点后怕,wp-config.php 配置文件中可存放了数据库的相关信息。万一,哪天我修改了配置文件,然后基于备份的“好习惯”,然后随便修改个后缀名,比如“.save”、“.bak”、“.bk”、“.copy”就都非常合适,那岂不是前面各种竖高墙,结果暗通沟渠、引狼入室?!

在此,温馨提醒各位网站主们,记得及时把各种备份文件转移,让你的网站空间内仅存放保证网站正常运行的必要文件,这是最安全可靠的做法。当然,可能有全站或数据库定时备份的需求,那把特定的文件后缀名加入到 NGINX 配置项中进行过滤保护也行,比如:

#禁止访问的文件或目录
location ~ .*\.(ini|htaccess|git|svn|project|md|log|backup|bak|bk|save|copy|gz|tar|7z|zip|rar)
{
return 404;
}
正文完
 
itylq
版权声明:本站原创文章,由 itylq 2024-06-07发表,共计559字。
转载说明:本站文章遵循CC-4.0国际许可协议,转载请注明出处(格式如“来源:IT摇篮曲www.itylq.com")。
评论(2条评论)
秋风于渭水 评论达人 LV.1
2024-06-07 10:31:07 回复

是的,所以备份文件的默认命名应该是《原名_随机字符串.原扩展名_随机字符串》之类的,并且移除可访问目录

 Windows  Chrome  中国天津天津市联通
    itylq 博主
    2024-06-07 11:04:14 回复

    @秋风于渭水 你这个方法很好,随机字符串几乎杜绝了盲猜的可能了。移除目录权限要备份文件集中存放才有用,大部分人的习惯是在相同位置直接复制一份文件,然后修改后缀名作为备份~

     Windows  Firefox  中国广东省深圳市电信