今天,本站成功接入腾讯云 CDN,享受高速内容分发网络。
做网站的人都知道,对于 WordPress 而言,保存评论者真实 IP 的重要性。我们经常会遇见恶意进行大量的行为,对于直连的主机,我们可以直接通过 IP 过滤掉这些恶意评论。
而对于套了一层 CDN 或代理的网站,这些方法可能就失效了。因为 WordPress 记录的 IP 是来自 $_SERVER['REMOTE_ADDR'],而用上 CDN 后,这会变成了 CDN 节点的 IP。
那么真实的 IP 藏在哪里呢?我们该如何通过 Hack WordPress 来使 WordPress 获取到真实的评论者 IP 呢?
此为 WordPress 搜索跨站脚本攻击(XSS)漏洞修复方法(感谢 360,让我发现此漏洞)的后续。
前些日子,收到 360 的提醒,说我的网站竟然高危,仅仅获得 2 分,速度打开,一看,满屏幕的跨站脚本攻击漏洞(WEB2.0),细细查看,愣了我半天。主要是说我的网站的 s 参数(搜索参数)和 replytocom 参数(回复参数)存在漏洞。可是,我不知道 360 得出的这个结果从何而来,我反复访问所谓的漏洞页面和正常页面进行检测,发现(也许是我眼花)毫无漏洞。而且那个搜索参数漏洞我之前才修复,并且进过检测确认没有已漏洞了,真不知道那个漏洞从何而来。
近些日子,发现了 360 网站安全检测这个玩意儿,兴致勃勃地填入自己的网站开始了检测之旅。
悲剧的是,360 居然告诉我,我的网站有漏洞。知名的 WordPress 开源程序居然有漏洞?令我有所疑惑,仔细一查,原来这个漏洞不是 WordPress 弄出来的,而是我们自己的失误而造成的。 继续阅读
相信大家在用 WordPress 写文章时,都没有注意过排版吧,这是一个极大的错误,我们需要养成良好的 WordPress 撰写习惯,这样,我们就可以再换各种主题的过程中,都不会出现有些主题因没有一些功能导致排版完全混乱的现象出现。