Apache禁止扫描Wordpress网站 作者: Hogwarts 发布于: 2022-01-20 更新于: 2022-07-31 分类: 默认分类 Wordpress树大招风,经常被扫描,其实也没啥,对于1IP的小站,就是服务器的内存增大点,CPU不稳定,忽大忽小。2G2H的主机还怕这个吗?! 看日志主要是这两种操作 188.166.230.196 - - [11/Jan/2022:16:40:20 +0800] "POST //xmlrpc.php HTTP/1.1" 200 400 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4240.193 Safari/537.36" 188.166.230.196 - - [11/Jan/2022:16:40:21 +0800] "POST //xmlrpc.php HTTP/1.1" 200 400 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4240.193 Safari/537.36" 188.166.230.196 - - [11/Jan/2022:16:40:22 +0800] "POST //xmlrpc.php HTTP/1.1" 200 400 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4240.193 Safari/537.36" 34.105.160.222 - - [11/Jan/2022:10:15:31 +0800] "POST //wp-login.php HTTP/1.1" 200 10823 "https://domain.com//wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36" 34.105.160.222 - - [11/Jan/2022:10:15:31 +0800] "POST //wp-login.php HTTP/1.1" 200 10823 "https://domain.com//wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36" 34.105.160.222 - - [11/Jan/2022:10:15:31 +0800] "POST //wp-login.php HTTP/1.1" 200 10823 "https://domain.com//wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36" 心中不爽,防火墙操作,禁止即可。 封IP命令 firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='222.222.222.222' reject" #修改222为攻击的IP 重新加载 firewall-cmd --reload 新问题来了,封IP仅能解决一时的清净,新的攻击IP接踵而来,封是封不过来了。只能出新招了。 进入网站的根目录 vim .htaccess #将以下内容加入 Order Deny,Allow Deny from all Order Deny,Allow Allow from 111.111.111.111 Deny from all #Allow from字段,需将111.111.111.111改为允许接入的IP。 或删除Allow from字段,需要登录的时候再修改,否则会把自己关在门外。 **解决.htaccess自动还原成默认配置** chmod 444 .htaccess ##世界清净了! 再来个更清净的 在网站根目录下建立`robots.txt`文件,输入下面内容 User-agent: * Disallow: / #需要搜索引擎抓取的不要进行此操作。 #世界更加清净了! 20220731PS ##适用于WordPress程序的Robots规则 在网站根目录创建名为robots.txt的文件,把以上内容粘贴到txt文件内,再把内容的最后一条的“域名”修改成自己网站的域名并保存文件。 User-agent: * Disallow: /wp-admin/ Disallow: /wp-include/ Disallow: /wp-login* Disallow: /?s=* sitemap: https://域名/wp-sitemap-posts-post-1.xml 参考 [Apache修改配置防止WordPress被爆破](https://iymark.com/website/apache-deny-access.html "Apache修改配置防止WordPress被爆破") [适用于WordPress程序的Robots规则](https://www.ymfnbk.com/post/173.html "适用于WordPress程序的Robots规则") 标签: htaccess, wordpress, apache