WordPress前后端站点安全防护 - 持续更新

只做操作上的记录,弱口令、社工等非手段除外

注意事项:

由于篇幅较长,先给出大致结构,后面慢慢补齐具体目录和内容,以下所有操作只为Linux和WordPress站点安全防护,其他环境可能不一定适用
修订版本: 43

>> 没有绝对的安全,能不能入侵成功取决于目标价值和攻击成本

0x01 前端防护

1. SSRF安全检测、防护

  • #### SSRF攻击介绍(网上介绍繁多,具体是个什么东西大家可能已经清楚,这里就不多废话了)
  • #### SSRF危害

一、泄露敏感信息数据:
如果攻击者能够使用SSRF找到相关凭据,则可以使用这些凭据访问存储在网络上的敏感信息。比如,如果攻击者能够找到AWS S3密钥,那么可以尝试查看该公司的私有S3存储库,看看是否已经有权限访问这些存储库。

二、绕过访问控制:
某些内部服务可能仅根据IP地址或内部标头控制访问权限,所以攻击者只需从受信任的计算机发送请求,就有可能绕过对敏感功能的访问控制。

三、执行(恶意)代码:
攻击者可以使用收集的信息将SSRF转换为RCE。
比如,如果攻击者找到授予其可以写入权限的管理员凭据,就可以尝试提权。
或者,如果攻击者发现一个安全机制不健全的管理面板,那是否有允许执行任何脚本的功能?
如果运气再好一点,更令人兴奋的是,也许攻击者可以以root身份登录!

  • SSRF防护

1.(黑名单)过滤10.0.0.0/8 、172.16.0.0/12、192.168.0.0/16、localhost、IPv6等私有地址

2.(黑名单)过滤 file:///dict://gopher://ftp:// 等危险的schema

3.内网服务开启鉴权(Memcached, Redis等服务)

4.尽量减少对外网资源的请求

5.需要使用互联网资源而无法使用白名单的情况:首先禁用 CURLOPT_FOLLOWLOCATION;然后通过域名获取目标ip,并过滤内部ip;最后识别返回的内容是否与假定内容一致

  • 检测方法
  1. 手工检测,对各个可能存在或容易产生SSRF的位置进行大致的排查
    • 分享:通过URL地址分享网页内容
    • 转码服务
    • 在线翻译
    • 图片加载与下载:通过URL地址加载或下载图片
    • 图片、文章收藏功能
    • 未公开的api实现以及其他调用URL的功能
    • 从URL关键字中寻找
  2. 工具扫描:
    • Burp Suite
    • CSRF Request Builder
    • CSRFTester
    • SSRFmap
    • 其他工具或自行开发的批量扫描工具
    • 花钱找人搞定

2. 页面安全防护

3. GET、POST、OPTION、PUT等请求安全

4. XSS安全防护

5. 目录遍历安全防护

6. SQL注入防护

7. WordPress的XML-RPC问题

0x02 后台防护

1. 爆破安全防护

2. 编辑器问题

3. 主题编辑防护

4. 默认用户名、密码问题

0x03 后端防护

1. PHP服务器安全防护

2. Nginx、Apache伪静态

3. Nginx WAF服务搭建

4. 内存缓存、静态文件缓存、使用及注意事项

5. www账号权限

6. 请求地址过滤

7. POST内容大小、安全检测

8. 访问频率限制(防CC攻击)

9. Upload目录禁止执行php、sh等可执行文件

10. php版本、php扩展等防护

11. .htaccess文件防护及安全配置

0x05 服务器、系统防护

1. 双机热备

2. 漏洞补丁

3. 端口安全

4. 权限控制

5. 访问控制

6. 对外开放的服务

7. 服务上线安全自检

8. 源IP隐藏

9. 防爆破

10. 蜜罐部署

11. 自动化溯源

12. Docker逃逸问题

13. Redis安全

0x04 服务器、CDN、缓存等周边服务安全

1. 服务器性能配置、管理、选购

2. CDN选购及配置

4. 灾备、数据备份

5. 域名、线路

6. 三方软件、系统

0x05 其他防护问题

1. 0day问题

2. 服务器自动阻断IP

3. 阿里云黑洞

4. DDOS、CC攻击防护问题

5. 威胁报警

赞(0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址