linux – 用于阻止wordpress / joomla管理员登录的modsecurity规则 – 其他

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了linux – 用于阻止wordpress / joomla管理员登录的modsecurity规则 – 其他，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含1800字，纯文字阅读大概需要3分钟。

内容图文

我有一个针对ModSecurity 1.x的旧规则来阻止管理员暴力攻击,并且只允许它们在内部网络中.

当我迁移到2.x时,它停止了工作.网络ipmatch规则也让我感到疯狂,因为它们不允许使用/ 8并且仅适用于/ 16或更高版本.

我试图使规则适应modsecurity 2,我来到这里：

SecRule REMOTE_HOST "!^10." "chain,id:'1',phase:2,t:none,block,nolog"
SecRule REQUEST_METHOD "@streq POST" "chain"
SecRule REQUEST_FILENAME "@pm /wp-login.php /wp-admin/ /administrator/ /admin/" "chain"
SecRule ARGS:log "@streq admin"

但它不起作用.一些在modsecurity方面经验丰富的人的建议？

解决方法:

你为什么不用.htaccess？它应该可以保护您免受暴力攻击,并且可以轻松配置.

我们确实使用了这样的东西,一个位于网站根目录的.htaccess文件,包含以下内容：

## Hardening wp - doublelogin
AuthUserFile /path/to/your/.htpasswd
AuthName "Double Login antibot"
AuthType Basic
<Files "wp-login.php">
  require valid-user
</Files>

和.htpasswd文件,位于本地驱动器上的任何位置.您只需要使用AuthUserFile指令指定.htpasswd文件的完整路径.选择您认为是密码文件的理想位置.只需确保Apache具有读取权限即可.

.htpasswd包含凭据.您可以通过运行来配置用户名和密码：

## if it is the first user use -c param (it create new file / or wipe it if exists)
htpasswd -c /path/to/your/.htpasswd username
## if you want to add more users omit the -c param

此外,我们还将以下规则放入.htaccess以拒绝访问wp-config.php(其中包含敏感信息,例如：WordPress安全密钥和WP数据库连接详细信息)

<files wp-config.php>
  order deny,allow
  deny from all
  allow from 192.168.1.1/24 #(replace with your IP address)
</files>

以及下一个,阻止WP xmlrpc.php请求哪个是漏洞最常见的原因之一. (阅读here了解更多信息)

<Files xmlrpc.php>
  order deny,allow
  deny from all
  allow from 192.168.1.1/24 #(replace with your LAN info)
</Files>

对不起我无法直接帮助解决您的问题,如果以上不是您想要的,我希望这个链接可以给您一些帮助：http://artefact.io/brute-force-protection-modsecurity/

内容总结

以上是互联网集市为您收集整理的linux – 用于阻止wordpress / joomla管理员登录的modsecurity规则 – 其他全部内容，希望文章能够帮你解决linux – 用于阻止wordpress / joomla管理员登录的modsecurity规则 – 其他所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

---