通过 Defender 的用户代理禁止免费保护您的 WordPress 网站免受恶意机器人的攻击
了解如何保护您的网站免受恶意机器人的攻击,同时使用我们的多合一 WordPress 安全插件允许来自安全用户代理的访问 后卫.
您网站的安全全天候 24/7 受到威胁,无论是来自严重的 DDoS 攻击、XSS 攻击、SQL 注入,还是仅仅是烦人的垃圾邮件.Defender 的用户代理禁止不仅为您的 WordPress 站点提供了强大的保护,以防止来自服务器级别的不良用户代理的请求,还有助于为所有良好的流量释放服务器资源.
而且这一切都是免费的(在 wordpress.org 免费获取).
在本文中,我们将介绍:
让我们潜入……
什么是用户代理?
让我们从维基百科的这个定义开始……
用户代理是代表用户的任何软件,它检索、呈现并促进最终用户与 Web 内容的交互.
网络服务器、电子邮件客户端、搜索引擎和网络浏览器都是用户代理的例子.
本质上,用户代理是一个"字符串"(即一行文本),用于向服务器标识客户端.换句话说,这是一种说"你好!这就是我"对网络服务器的看法.
例如,网络浏览器在其 HTTP 标头中包含一个 User-Agent 字段,用于向网络服务器标识浏览器和操作系统(例如,Windows 10 上的 Chrome 浏览器版本 94.0.4606.61).
Web 浏览器的用户代理字符串格式如下:
Mozilla/[version] ([system and browser information]) [platform] ([platform details]) [extensions]
这允许每个网络浏览器拥有自己独特的用户代理,并且用户代理字段的内容因浏览器而异.
例如,当我查找网络浏览器的用户代理时,我得到以下信息:
此信息对网络服务器很有用,因为它允许网络服务器为不同的网络浏览器和不同的操作系统提供不同的网页(例如,将移动页面发送到移动网络浏览器,向不同平台或操作系统显示不同的页面,甚至显示"请升级您的浏览器"消息到较旧的网络浏览器).
好机器人与坏机器人
大多数网站所有者都希望自己的内容可以在网络上找到,尤其是通过 Google 等搜索引擎.
Google 通过跟踪从一个网页到另一个网页的链接,使用 称为"爬虫"的用户代理.例如,Google 的主要抓取工具名为 Googlebot.
因此,大多数网站所有者会认为 Googlebot 是一个"好机器人",并欢迎该用户代理通过他们的网络服务器访问他们的网站.
然而,并非所有用户代理都是好人.
垃圾邮件发送者、抓取工具、电子邮件收集器和恶意机器人等不受欢迎的访问者也可以利用用户代理来威胁您的信息和网站的安全.
例如……
跨站脚本 (XSS) 攻击示例
可以修改用户代理名称,方法是在其中包含带有恶意 JS 代码的链接:
UserXagent:(Mozilla/5.0(!<script>alert('XSS(Example');(</script><!—
问题来了:
- 服务器将信任用户代理名称并存储上述字符串(例如,在网络分析工具中).
- 真实用户(例如管理员)然后访问存储字符串的工具.
- 当打开包含字符串的日志页面时,浏览器将解析所有列出的用户代理并执行脚本.此脚本可以是简单的重定向,也可以是垃圾邮件弹出窗口.
Defender 的用户代理禁止通过在检测到此类用户代理名称时阻止页面加载来防止来自安全标头的 XSS 攻击.
SQL 注入示例
这和上面的类似.用户代理名称可以包含 SQL 查询,例如,单引号 '
.
如果服务器没有高水平的保护,它可能会导致错误,然后攻击者可以开始试验和执行 SQL 查询.
那么,您如何才能让好机器人进入并阻止坏机器人访问您的网站?
这就是 Defender 出手相救的地方.
如何设置 Defender 的用户代理禁止
Defender 的用户代理禁止功能可让您指定允许和不允许访问您网站的用户代理.
要访问和启用此功能,请登录您的站点并转到 Defender >防火墙
点击按钮激活该功能...
VPS1352主机测评网(www.vps1352.com)
本文链接:https://www.vps1352.com/7510.html