linux – 用于阻止wordpress / joomla管理员登录的modsecurity规则 – 其他
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了linux – 用于阻止wordpress / joomla管理员登录的modsecurity规则 – 其他,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1800字,纯文字阅读大概需要3分钟。
内容图文
![linux – 用于阻止wordpress / joomla管理员登录的modsecurity规则 – 其他](/upload/InfoBanner/zyjiaocheng/957/5fa0662bb980461e89907e5132780aa9.jpg)
我有一个针对ModSecurity 1.x的旧规则来阻止管理员暴力攻击,并且只允许它们在内部网络中.
当我迁移到2.x时,它停止了工作.网络ipmatch规则也让我感到疯狂,因为它们不允许使用/ 8并且仅适用于/ 16或更高版本.
我试图使规则适应modsecurity 2,我来到这里:
SecRule REMOTE_HOST "!^10." "chain,id:'1',phase:2,t:none,block,nolog"
SecRule REQUEST_METHOD "@streq POST" "chain"
SecRule REQUEST_FILENAME "@pm /wp-login.php /wp-admin/ /administrator/ /admin/" "chain"
SecRule ARGS:log "@streq admin"
但它不起作用.一些在modsecurity方面经验丰富的人的建议?
解决方法:
你为什么不用.htaccess?它应该可以保护您免受暴力攻击,并且可以轻松配置.
我们确实使用了这样的东西,一个位于网站根目录的.htaccess文件,包含以下内容:
## Hardening wp - doublelogin
AuthUserFile /path/to/your/.htpasswd
AuthName "Double Login antibot"
AuthType Basic
<Files "wp-login.php">
require valid-user
</Files>
和.htpasswd文件,位于本地驱动器上的任何位置.您只需要使用AuthUserFile指令指定.htpasswd文件的完整路径.选择您认为是密码文件的理想位置.只需确保Apache具有读取权限即可.
.htpasswd包含凭据.您可以通过运行来配置用户名和密码:
## if it is the first user use -c param (it create new file / or wipe it if exists)
htpasswd -c /path/to/your/.htpasswd username
## if you want to add more users omit the -c param
此外,我们还将以下规则放入.htaccess以拒绝访问wp-config.php(其中包含敏感信息,例如:WordPress安全密钥和WP数据库连接详细信息)
<files wp-config.php>
order deny,allow
deny from all
allow from 192.168.1.1/24 #(replace with your IP address)
</files>
以及下一个,阻止WP xmlrpc.php请求哪个是漏洞最常见的原因之一. (阅读here了解更多信息)
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 192.168.1.1/24 #(replace with your LAN info)
</Files>
对不起我无法直接帮助解决您的问题,如果以上不是您想要的,我希望这个链接可以给您一些帮助:http://artefact.io/brute-force-protection-modsecurity/
内容总结
以上是互联网集市为您收集整理的linux – 用于阻止wordpress / joomla管理员登录的modsecurity规则 – 其他全部内容,希望文章能够帮你解决linux – 用于阻止wordpress / joomla管理员登录的modsecurity规则 – 其他所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。