毕竟 WordPress 网站是一个功能比较全的 cms 系统,它拥有一切优点,但同时也很可能被攻击者利用,对网站造成不同程度的破坏。以WordPress自带的搜索功能为例,使用起来非常方便,只要在需要搜索的站点添加调用即可。但实际上,WordPress内置的搜索功能并不好,因为它会被使用,攻击者可以利用内置的搜索功能进行恶意搜索攻击。
本文将谈谈WordPress网站被自身搜索恶意攻击利用时的解决方案。
恶意搜索攻击实际上是通过已建立的 URL 结构不断搜索和访问网站的不良关键字。例如,WordPress 的搜索 URL 结构是域名 /?s=search word。此类恶意搜索的结果可能包括:
短时间内多次请求会增加服务器的负载
更严重的可能会顺便将访问过的地址推送到各大搜索引擎,加速这些恶意网址的收录。这样一来,你的网站就会成为这些不法分子传播不良信息的渠道,对网站排名非常不利,甚至可能被搜索引擎直接排名。
说白了,这是一种使用搜索标记的黑帽SEO方法。它使用 WordPress 网站中内置的搜索来优化某些长尾关键字以进行促销。
那么如何应对这种恶意搜索攻击呢?有以下几种方法:
1、禁止搜索引擎包含搜索结果页的地址
为了禁止包含搜索结果页面,我们可以在网站根目录下的 robots.txt 文件中添加如下规则:
不允许:/?s=*
(注意:请检查您的 robots.txt 文件是否包含它,如果有,请跳过此步骤)。
2、限制一定时间内某个IP的搜索次数
使用插件 Search Limiter & Blocker,可以设置 WordPress 网站的内置搜索,限制一定时间内同一 IP 的搜索次数。
3、完全关闭wordpress自带的搜索功能,改用第三方站内搜索
这种方法可以说是无用的。第三方提供的搜索功能有很多:百度站搜索(好像关闭了入口)、搜狗站搜索、360站搜索等等,但是这个第三方搜索的尴尬点是搜索只提供了已包含在相应搜索引擎中的内容。当网站没有被搜索引擎收录时,什么都找不到…
4、搜索功能增加人机安全验证
这个验证类似于谷歌机器人验证,区分是普通访客还是机器人访客。如果是普通访问者,可以畅通无阻地使用WordPress搜索安全验证。消费。
实现逻辑是在防火墙级别进行逻辑匹配。只要包含/?s=,就会进行人机安全验证。如果验证通过,则为正常访问,如果验证失败,则直接拦截。
并且你也可以根据自己的需要进行调整,比如第一次搜索放行,第二次进行验证,如果验证失败,可以屏蔽或屏蔽IP。
除了以上方法外,宝塔面板专业版软件——Nginx防火墙还可以设置限制当前IP在网站单位时间内的访问次数,还可以起到防止恶意搜索的作用。方法很多,可以根据自己的需要来设置。
结论:以上是本文草根吧VPS针对被自己搜索利用的WordPress网站进行恶意攻击提供的一些解决方案。恶意搜索攻击应该是大多数WordPress站长都会遇到的问题。毕竟恶意搜索攻击会增加我们服务器的压力,甚至会影响网站在搜索引擎中的权重,所以还是需要注意的。