逆向行駛 最愛的最殘酷、最美的最虛無
最近看到一個安全性質的外掛6Scan Security,試用了一下感覺還不錯,安裝特容易,後台搜尋6scan安裝外掛即可,雖然Automatic Fix功能只向付費用戶提供,不過也有教手動修正方法,但基本上一個月9.99美元就能保證網站安全是很划算的。
目前我使用的WordPress版本是3.4.1,安裝後偵測到的問題有三
一、打開wp-admin目錄底下的user-edit.php
找到第26行的
|
1 |
wp_enqueue_script('user-profile'); |
在這行後面添加
|
1 2 |
if ( current_user_can('edit_user',$user_id ) == FALSE ) wp_die(__( 'Forbidden' ) ); |
二、刪除WordPress根目錄底下的readme.html
三、打開WordPress根目錄底下的wp-comments-post.php
找到第15行的
|
1 |
/** Sets up the WordPress Environment. */ |
在這行後面添加
|
1 2 3 4 5 6 7 8 |
if ( ! isset( $_SERVER[ "HTTP_REFERER" ] ) ) die(); $referrer_url = $_SERVER[ "HTTP_REFERER" ]; $server_name = str_replace( "." , "." , $_SERVER[ "HTTP_HOST" ] ); /* Escape the dots for following regexp search */ $server_name = str_replace( '/' , '/' , $server_name ); /* Escape the '/' for following regexp search */ $referr_pattern = "/^((http(s)?)://)?(www.)?$server_name/"; if ( ! preg_match( $referr_pattern, $referrer_url ) ) die(); |
另外6Scan提供的備份功能是把檔案放到阿罵爽S3上,穩定性及安全性當然是一流的了,付費用戶還可以儲存達15天或30天的備份檔案以及手機簡訊通知支援;不過免費版還滿囉嗦的,會一直提醒你有漏洞要修正 = =”
另外看了一下6Scan官網的介紹,發現這家廠商也滿屌的,背景是以色列情報局出身的人員,而且陸續還會推出Joomla、Drupal、Magento等系統的版本。
後台設定畫面
