是一個(gè)簡(jiǎn)單,超快速的插件,可保護(hù)您的網(wǎng)站免遭惡意URL請(qǐng)求。燒烤檢查所有傳入流量,并悄悄塊壞請(qǐng)求包含討厭的東西一樣eval(,base64_和過(guò)長(zhǎng)請(qǐng)求字符串。對(duì)于無(wú)法使用強(qiáng)大的.htaccess防火墻的站點(diǎn),這是一個(gè)簡(jiǎn)單而可靠的解決方案。
- 官方介紹: https://perishablepress.com/block-bad-queries/
- 官方下載: https://wordpress.org/plugins/block-bad-queries/
本站下載:
[zrz_file link="https://cdn.getimg.net/npc/2019/wordpress/plugin/block-bad-queries.20191109.zip" name="block-bad-queries.20191109.zip" code=""]
很棒的功能
- 100%即插即用功能
- 無(wú)需配置(可以正常工作)
- 天生的速度和簡(jiǎn)單,沒(méi)有多余的裝飾
- 100%專注于安全性和性能
- 阻止各種惡意請(qǐng)求
- 阻止目錄遍歷攻擊
- 阻止可執(zhí)行文件上傳
- 阻止SQL注入攻擊
- 基于5G / 6G防火墻
- 掃描所有傳入流量并阻止不良請(qǐng)求
- 掃描所有類型的請(qǐng)求:GET,POST,PUT,DELETE等。
- 在后臺(tái)靜默工作以保護(hù)您的網(wǎng)站
- 易于使用的無(wú)憂安全插件
- 經(jīng)過(guò)全面測(cè)試,無(wú)錯(cuò)誤的性能
- 與其他安全性插件兼容
- 定期更新和“面向未來(lái)”
- 通過(guò)白名單/黑名單插件自定義阻止的字符串
隱私
該插件不收集或存儲(chǔ)任何用戶數(shù)據(jù)。它不會(huì)設(shè)置任何cookie,也不會(huì)連接到任何第三方位置。因此,此插件不會(huì)以任何方式影響用戶隱私。
無(wú)論是否使用Gutenberg塊編輯器,均可完美運(yùn)行
專業(yè)版
要獲得高級(jí)保護(hù)和強(qiáng)大功能,請(qǐng)查看BBQ Pro。
驗(yàn)證它是否正常
一旦BBQ安裝,你可以驗(yàn)證它的工作通過(guò)請(qǐng)求下列網(wǎng)址從您的網(wǎng)站S(?example.com):
http://example.com/proc/self/environhttp://example.com/path/?q=%2e%2ehttp://example.com/path/base64_
這些只是BBQ阻止的垃圾類型的示例。如果您的服務(wù)器針對(duì)這些示例返回403“ Forbidden”(禁止)響應(yīng),則BBQ正在執(zhí)行它的thang。使用BBQ防火墻中包含的模式可以進(jìn)行更多測(cè)試。
這個(gè)怎么運(yùn)作
這基本上是我移植到PHP的G系列?黑名單的改編。它通過(guò)定義一組匹配并阻止惡意URL請(qǐng)求的正則表達(dá)式來(lái)工作。BBQ掃描每個(gè)請(qǐng)求的三個(gè)部分:
- 請(qǐng)求URI
- 查詢字符串
- 用戶代理
根據(jù)策略設(shè)計(jì)的一組已知攻擊模式檢查這些變量是防止惡意攻擊的有效方法。
BBQ獨(dú)立PHP腳本
要在非WP網(wǎng)站上實(shí)現(xiàn)BBQ腳本,請(qǐng)為每個(gè)頁(yè)面請(qǐng)求(例如,在每個(gè)網(wǎng)頁(yè)的開(kāi)頭)添加以下代碼。
<?php
/*
Plugin Name: Block Bad Queries (BBQ)
Plugin URI: https://perishablepress.com/block-bad-queries/
Description: Automatically protects WordPress against malicious URL requests.
Author: Jeff Starr
Author URI: https://monzillamedia.com/
Version: (standalone)
License: GPL v2
Usage: No configuration necessary. Upload, activate and done. BBQ blocks bad queries automically to protect your site against malicious URL requests.
Tags: security, protect, firewall, php, eval, malicious, url, request, blacklist
*/
$request_uri = $_SERVER['REQUEST_URI'];
$query_string = $_SERVER['QUERY_STRING'];
$user_agent = $_SERVER['HTTP_USER_AGENT'];
// request uri
if ( //strlen($request_uri) > 255 ||
stripos($request_uri, 'eval(') ||
stripos($request_uri, 'CONCAT') ||
stripos($request_uri, 'UNION+SELECT') ||
stripos($request_uri, '(null)') ||
stripos($request_uri, 'base64_') ||
stripos($request_uri, '/localhost') ||
stripos($request_uri, '/pingserver') ||
stripos($request_uri, '/config.') ||
stripos($request_uri, '/wwwroot') ||
stripos($request_uri, '/makefile') ||
stripos($request_uri, 'crossdomain.') ||
stripos($request_uri, 'proc/self/environ') ||
stripos($request_uri, 'etc/passwd') ||
stripos($request_uri, '/https/') ||
stripos($request_uri, '/http/') ||
stripos($request_uri, '/ftp/') ||
stripos($request_uri, '/cgi/') ||
stripos($request_uri, '.cgi') ||
stripos($request_uri, '.exe') ||
stripos($request_uri, '.sql') ||
stripos($request_uri, '.ini') ||
stripos($request_uri, '.dll') ||
stripos($request_uri, '.asp') ||
stripos($request_uri, '.jsp') ||
stripos($request_uri, '/.bash') ||
stripos($request_uri, '/.git') ||
stripos($request_uri, '/.svn') ||
stripos($request_uri, '/.tar') ||
stripos($request_uri, ' ') ||
stripos($request_uri, '<') ||
stripos($request_uri, '>') ||
stripos($request_uri, '/=') ||
stripos($request_uri, '...') ||
stripos($request_uri, '+++') ||
stripos($request_uri, '://') ||
stripos($request_uri, '/&&') ||
// query strings
stripos($query_string, '?') ||
stripos($query_string, ':') ||
stripos($query_string, '[') ||
stripos($query_string, ']') ||
stripos($query_string, '../') ||
stripos($query_string, '127.0.0.1') ||
stripos($query_string, 'loopback') ||
stripos($query_string, '%0A') ||
stripos($query_string, '%0D') ||
stripos($query_string, '%22') ||
stripos($query_string, '%27') ||
stripos($query_string, '%3C') ||
stripos($query_string, '%3E') ||
stripos($query_string, '%00') ||
stripos($query_string, '%2e%2e') ||
stripos($query_string, 'union') ||
stripos($query_string, 'input_file') ||
stripos($query_string, 'execute') ||
stripos($query_string, 'mosconfig') ||
stripos($query_string, 'environ') ||
//stripos($query_string, 'scanner') ||
stripos($query_string, 'path=.') ||
stripos($query_string, 'mod=.') ||
// user agents
stripos($user_agent, 'binlar') ||
stripos($user_agent, 'casper') ||
stripos($user_agent, 'cmswor') ||
stripos($user_agent, 'diavol') ||
stripos($user_agent, 'dotbot') ||
stripos($user_agent, 'finder') ||
stripos($user_agent, 'flicky') ||
stripos($user_agent, 'libwww') ||
stripos($user_agent, 'nutch') ||
stripos($user_agent, 'planet') ||
stripos($user_agent, 'purebot') ||
stripos($user_agent, 'pycurl') ||
stripos($user_agent, 'skygrid') ||
stripos($user_agent, 'sucker') ||
stripos($user_agent, 'turnit') ||
stripos($user_agent, 'vikspi') ||
stripos($user_agent, 'zmeu')
) {
@header('HTTP/1.1 403 Forbidden');
@header('Status: 403 Forbidden');
@header('Connection: Close');
@exit;
} ?>無(wú)需對(duì)此代碼進(jìn)行任何更改,因此您應(yīng)該一切順利。請(qǐng)注意,此腳本與當(dāng)前版本的WP插件有所不同。已對(duì)更新版本的插件進(jìn)行了優(yōu)化,以更好地與WordPress配合使用,但此版本的BBQ總體上仍繼續(xù)保護(hù)非WP網(wǎng)站。
請(qǐng)注意,任何時(shí)候您都可以使用最新模式在獨(dú)立腳本中更新BBQ黑名單。只需下載BBQ插件,然后從主插件文件中復(fù)制正則表達(dá)式數(shù)組即可。
