Hôm naynên mình chia sẻ một TIP mình dùng để chặn wpscan website wordpress để tránh bị hack dạo. tuy không chống được hack nhưng làm bạn sẽ an toàn hơn chí ít trước những công cụ scan website trên mạng.
Đầu tiên wpscan sẽ dùng Method http là HEAD để tiến hành kiểm tra các file của website.
Cấu hình cloudflare các bạn xem bài viết tại đây
Cho nên điều cần làm của chúng ta là chặn Method HEAD bạn có thể dùng firewall trên cloudflare để chặn loại Method này
(http.request.method eq "HEAD")
Để phát hiện được version của website đang dùng thì nó dùng cách phát hiện version của css jss.... nên chúng ta cần thay đổi file function của theme thêm đoạn sau vào cuối.
Tiếp theo chúng ta cần loại bỏ đoạn code như sau ra khỏi mã nguồn trên trang chủ để tránh nó phát hiện ra xmlrpc
Chúng ta thêm tiếp vào file function đoạn sau:
Một vấn đề nữa trong việc phát hiện version của worpress là công này sẽ trích xuất dữ liệu từ wp-admin/install.php và /wp-admin/upgrade.phpcủa web
Ở đây mình khuyển các bạn nên xóa file này tuy nhiên khi update nó lại có việc xóa mât công thì bạn có thể chặn trên cloudflare hoặc với nginx thì đoạn code sau đây sẽ làm việc:
với cloudflare
Các bạn sau khi làm hết thao tác trên thì có thể tự thử scan và sẽ thấy nó bị treo và không thể scan được website.
Và đây là kết quả
Lưu ý: sau khi cấu hình nginx thì các bạn nhớ restart lại nginx để hoạt động được chấp nhận
Update: Sau khi lang thang trên mạng thấy trang wpsec.com cho phép scan online thì mình thấy mặc dù chặn bước trên nhưng cái này thì không bị chặn nên mình cập nhập thêm đoạn code sau vào nginx để chặn nó scan
Các bạn thêm nó vào sau phần server_name của nginx nhé.
ví dụ của mình sẽ là:
kết quả:
Mình cũng xem trên một số công cụ phổ biến thì thấy khá ok
Không có nhận xét nào:
Đăng nhận xét