利用.htacess 来防止恶意登录和 SQL 注入攻击!

2016-07-1219:34:47 20 6,665
摘要

最近估计我的博客有犯小人了,总是被恶意的频繁的恶意登陆和SQL注入攻击,虽然主题提供了隐藏登录地址和登录保护以及登录错误邮件提醒功能,很有效的防范了这种无聊的低级攻击,但是每天邮箱里都要堆满上百封的登录错误提醒邮件也是以一个很烦人的事儿,今天抽空加强学习了一下.htacess的设置部署,可以很好的防止恶意登陆和SQL注入攻击,使用Apache Web服务器的站长们可以借鉴一下!

最近估计我的博客有犯小人了,总是被恶意的频繁的恶意登陆和 SQL 注入攻击,虽然主题提供了隐藏登录地址和登录保护以及登录错误邮件提醒功能,很有效的防范了这种无聊的低级攻击,但是每天邮箱里都要堆满上百封的登录错误提醒邮件也是以一个很烦人的事儿,今天抽空加强学习了一下.htacess 的设置部署,可以很好的防止恶意登陆和 SQL 注入攻击,使用 Apache Web 服务器的站长们可以借鉴一下!

利用.htacess 来防止恶意登录和 SQL 注入攻击!

其实这种攻击对于博客来说前端几乎是没有什么感觉的,就是会对服务器有点压力,但也都是在可承受范围内的,基本上不用理会的,但是作为一个折腾达人,没有理由不做出反应呀!要不那些犯贱的小白级“黑客”真以为本人好欺负呢!正是孰可忍孰不可忍,所以站在强化网站安全的角度上来说还是很有必要折腾的!

SQL 注入攻击小常识:

SQL 注入攻击是黑客对数据库进行攻击的常用手段之一。随着 B/S 模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的 SQL Injection,即 SQL 注入。

SQL 注入攻击可以说是最常见的一种攻击方式了,所以就先来讲这个吧,在.htacess 里其实很简单,只需要加上如下代码即可:

# 防 sql 注入等恶意请求

Options +FollowSymLinks  
RewriteEngine On  
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]  
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]  
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})  
RewriteRule ^(.*)$ index.php [F,L]  

OK,加入上述代码后就可以在 Web 服务器端有效的防止 SQL 注入的攻击了,这又算是加强了一下服务器的安全了!
下面来说说防范恶意登录的,其实这种是最恶心人的一种登录,我都隐藏登录地址了,就是不明白你登录还有什么意义呢?每一次恶意登陆后都会给你自动转到百度首页去,真是不明白这些攻击人的智商是怎么回事儿?一句话“智商堪忧”呀!
利用.htacess 来防止恶意登录和 SQL 注入攻击!

每天都要收到上百条这样的邮箱,真是他妈的烦人!

在.htacess 里加入如下代码首先来保护 wp-loging.php 文档:

# BEGIN 保护 wp-config.php 文件

order allow,deny
deny from all

# BEGIN 

如此即可,至于效果这两天在观察一下看还能不能收到登录失败的邮件提醒了!

最后附赠大家一个通过.htacess 来防止垃圾评论骚扰的方法,目前我两个网站都用了,感觉还不错!(记得要把代码中的 yourdomain.com 改为你自己的域名噢!)

# 屏蔽 wp-comments-post.php 被直接访问
  
RewriteEngine On  
RewriteCond %{REQUEST_METHOD} POST  
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*  
RewriteCond %{HTTP_REFERER} !.*.yourdomain.com.* [OR]  
RewriteCond %{HTTP_USER_AGENT} ^$  
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]  
  

总之感觉 Apache 的.htacess 真的,真的,真的好强大,善于利用的话可以很有效的提升网站的安全性和流畅性。

历史文章推荐:

  • 本博客公众号
  • 扫一扫关注!
  • weinxin
  • 本博客小程序
  • 微信内浏览本博客
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:20   其中:访客  9   博主  11

    • 小萝博客 小萝博客 4

      已加入sql注入 代码,看看效果咋样?最近太多人骚扰啊

      • 唐子禾网赚博客 唐子禾网赚博客 1

        很受用

        • 懿古今 懿古今 6

          好像安装为后台登录页面安装一个验证码可以有效防止暴力破解,而且隐藏登录地址建议调整到诸如淘宝之类的站点,爆破速度越快,打开淘宝就越多,最终有可能会卡死他们电脑。感觉这个比跳转到百度首页好。

            • 明月登楼 明月登楼 Admin

              @懿古今 哈哈,转到淘宝这个好,不错!我去试试去!

              • 明月登楼 明月登楼 Admin

                @懿古今 还是隐藏我的登录地址比较好!呵呵!已经换成跳转至淘宝了!哈哈!太有创意了!

                • Koolight Koolight 6

                  @懿古今 是不是也可以在index.php与wp-login.php中加入防快速刷新的代码,让它跳转到某无限裂变页面呢?

                • 明月登楼 明月登楼 Admin

                  最新效果反馈:目前恶意登陆的邮件提醒由原来的每天近百封下降至1-5封了!看来还是有些作用的!至于说垃圾评论和SQL注入攻击目前还没有感觉到效果!

                  • 个人博客 个人博客 5

                    最近很多都在讲安全的

                    • 龙砚庭 龙砚庭 5

                      我用的是nginx。所以对于htaccess不了解。

                        • 明月登楼 明月登楼 Admin

                          @龙砚庭 nginx好像也可以这样的,但我忘了具体配置文件是什么名字了!

                        • 米粒博客 米粒博客 4

                          不知道zblog php 怎么用

                            • 明月登楼 明月登楼 Admin

                              @米粒博客 .htacess是Apache Web服务器的,只要你的主机用的是Apache就可以使用的,具体你可以咨询你的主机提供商!