IP地理块
插件描述
您安装主题和插件的次数越多,您的网站越容易受到攻击,即使您安全地强化您的网站。
虽然WordPress.org 提供 优秀的 资源,但由于开发人员人为因素,主题和插件可能经常受到攻击例如缺乏安全意识,滥用和滥用这些资源中的最佳做法。
这个插件专注于洞察这些开发人员的人为因素,而不是在他们被披露后检测特定的攻击向量。这带来了一种名为“ WP Zero-day Exploit Prevention ”和“ WP Metadata Exploit Protection ”的智能且强大的方法。
结合这些方法和IP地址地理定位,您会惊讶地发现在安装几天后,在此插件的日志中阻止了一堆恶意或不受欢迎的访问。
产品特点
设计隐私:
IP地址始终在日志/缓存中记录时加密。此外,它可以匿名化并限制发送给第三方,例如地理位置API或whois服务。
出入境管制:
进入后端的基本和重要入口,如 wp-comments-post.php
, xmlrpc。 php
, wp-login.php
, wp-signup.php
, wp-admin / admin.php
, wp-admin / admin-ajax.php
, wp-admin / admin-post.php
将通过基于IP地址的国家代码进行验证。它允许您将白名单或黑名单配置为对于一组IP地址,使用, CIDR表示法,对于一组IP网络,使用 AS号。
零日漏洞预防:
与基于攻击模式(向量)的其他安全防火墙不同,原始功能“ W ord P ress Z ero-day E xploit P revention“(WP-ZEP)专注于脆弱性模式。它很简单,但仍然很聪明,足以阻止对 wp-admin / * .php
,插件/ * .php
和主题/ * .php 甚至来自允许的国家。它会保护您的网站免受某些类型的攻击,如CSRF,LFI,SQLi,XSS等,
,即使您的网站中有一些易受攻击的插件和主题。
防范登录尝试: 为了防止通过暴力破解和反暴力攻击登录表单和XML-RPC,登录次数即使是来自允许的国家,每个IP地址的尝试也会受到限制。
最大限度地减少服务器负载以防止暴力攻击: 您可以将此插件配置为
必须使用插件,以便可以在常规之前加载此插件插件。它可以大大减少服务器上的负载。
防止恶意下载/上传:
可以阻止恶意请求,例如暴露 wp-config.php
或通过易受攻击的插件/主题上传恶意软件。
阻止行为不当的僵尸程序和抓取工具:
一个简单的逻辑可能有助于减少欺诈网站和抓取工具的数量。
支持BuddyPress和bbPress:
您可以配置此插件,以便注册用户可以从任何地方以会员身份登录,而国家可以阻止诸如新用户注册,丢失密码,创建新主题和订阅评论之类的请求。它适用于 BuddyPress
和 bbPress 以帮助减少垃圾邮件。
外部链接的引用抑制器:
当您单击管理屏幕上的外部超链接时,将删除http引用来隐藏您网站的占用空间。
多个IP地理位置数据库源:
MaxMind GeoLite2免费数据库
(需要PHP 5.4.0+)和 IP2Location LITE数据库可以安装在这个插件中。此外,还可以使用免费的Geolocation REST API和whois信息进行审计。 更多,可以为CloudFlare和CloudFront安装专用API类库
作为反向代理服务。
自定义响应:
HTTP响应代码可以选择为 403 Forbidden
拒绝访问页面, 404 Not Found
隐藏页面甚至 200 OK
重定向到首页。 您还可以在父/子主题模板目录中拥有一个人性化页面(如
404.php
)以适合您的网站设计。
验证日志:
可以管理审核攻击模式的有用信息的验证日志。
与完整规范安全插件的合作:
此插件非常精简,可以与其他完整规范的安全插件(如 Wordfence Security
)配合使用。有关页面速度性能,请参阅此报告。
可扩展性:
您可以通过 add_filter()
自定义此插件的行为预定义的过滤钩
。请参阅此软件包中捆绑的 samples.php 中的各种用例。 您还可以通过 Dragan
获取 IP地理允许的扩展名。它使管理员屏幕严格私密,比指定IP地址更灵活。
自我阻止和轻松救援:
网站所有者不喜欢被阻止。这个插件可以防止这种令人伤心的事情,除非你强迫它。此外,如果出现这种情况,您可以轻松地自救
。
清除卸载:
卸载后,您的宝贵mySQL数据库中没有任何内容。因此,您可以随意安装和激活以试用此插件的功能。
归属
此软件包包含由MaxMind分发的GeoLite2库,可从
MaxMind
获得(它需要PHP 5.4.0+),还包括可从以下位置获得的IP2Location开源库: IP2Location 。 还要感谢免费提供以下优质服务和REST API。
http://ip-api.com/
(IPv4,IPv6 /免费用于非商业用途) http://geoiplookup.net/ (IPv4,IPv6 /免费) https://ipinfo.io/ (IPv4,IPv6 /免费)[https://ipapi.com/](https://ipapi.com/“ipapi – IP地址查询和地理定位API)(IPv4,IPv6 /免费,需要API密钥) https://ipdata.co/ (IPv4,IPv6 /免费,需要API密钥) https://ipstack.com/ (IPv4,IPv6 /注册用户免费,需要API密钥) https://ipinfodb.com/ (IPv4,IPv6 /注册用户免费,需要API密钥)开发
在
WordPress-IP-Geo-Block
推广此插件的开发,并开发了用于处理地理位置数据库的类库在 WordPress-IP-Geo-API 中单独作为“加载项”。 欢迎所有贡献。或者访问我的
开发博客
拖动后没有显示图像&在“媒体库”中删除网格视图中的图像。有关详细信息,请参阅
此门票在Github
。 WordPress 4.5 , rel = nofollow 已不再附加到 comment_content中的链接
。此更改阻止阻止“服务器端请求伪造
”(不是跨站点,而是注释字段中的恶意内部链接)。 WordPress.com移动应用由于其自己的身份验证系统通过XMLRPC无法执行图像上传。 屏幕截图











使用WordPress仪表板
导航到插件仪表板中的“添加新”搜索“IP地理块”点击“立即安装”激活插件仪表板上的插件,暂停一段时间,然后转到“设置” » ‘IP Geo Block’尝试’最适合后端’按钮,便于在此插件的设置页面底部进行设置。
请参阅
文档
使用此插件的网站是否符合GDPR标准?
此插件基于“设计隐私”原则设计,因此您可以顺利运行它到GDPR。为防止个人数据泄露,此插件中的IP地址已加密,默认情况下也可以匿名。它还提供了一些功能,不仅可以手动擦除它们,还可以在超过一定量/时间时自动删除它们。
但是,这些是GDPR要求的一部分,并不保证该网站符合GDPR。有关详细信息,请参阅
3.0.11发行说明
。 此插件是否支持多站点? 是的。在网络上激活时,可以将设置与网络上的所有站点同步,并在“
插件设置
”部分中启用“网络范围设置”。 此插件是否适用于缓存? 简答是
YES
,特别是出于安全目的,例如阻止后端和前端的恶意访问。 您可以在“
与cac的兼容性”中找到缓存插件的长答案和兼容性列表他插上
“。 我仍然可以访问黑名单国家。它运作正常吗? 当然,是的。
有时,当Wordfence安全用户在其实时流量视图中发现某些访问时,会报告此类声明。但请不要担心。在运行WordPress之前,Wordfence使用
auto_prepend_file
指令巧妙地过滤掉对您网站的恶意请求,以包含基于PHP的Web应用程序防火墙。然后,此插件验证通过Wordfence传递的其余请求,因为它们不在WAF规则中,尤其是启用“防止零日漏洞”。 这也可能是由地理位置数据库中国家代码的准确性引起的。实际上,存在相同IP地址具有不同国家代码的情况。
有关详细信息,请参阅“
我仍然可以访问列入黑名单的国家/地区。
“。 如何测试此插件的工作原理? 最简单的方法是使用
免费代理浏览器插件
http头浏览器插件
X-Forwarded-For
标头添加IP地址,以模拟代理后面的访问。在这种情况下,您应该将 HTTP_X_FORWARDED_FOR
添加到“设置
”选项卡上的“ $ _SERVER密钥以获取额外IP ”。 详见“
如何测试预防攻击
”。 我被锁了!我该怎么办? 请首先在登录页面
的
ip-geo-block.php
底部附近的“紧急功能”代码部分找到另一种解决方案。这鳕鱼可以通过将行顶部的 / *
(打开多行注释)替换为 //
(单行注释)或 * 在
* / 的行尾(关闭多行注释)。
/ ** *如果您自己被锁定,则无效阻止行为。 * *使用方法:激活以下代码并通过FTP上传此文件。 * // * – 在此行的顶部或末尾添加’/’以激活以下内容 – * / function ip_geo_block_emergency($ validate,$ settings){$ validate [‘result’] =’pass’; return $ validate;} add_filter(’ip-geo-block-login’,’ip_geo_block_emergency’,1,2); add_filter(’ip-geo-block-admin’,’ip_geo_block_emergency’,1,2); // * /
请注意,您不必使用
适当的编辑器
。
保存并通过FTP将其上传到服务器上的 / wp-content / plugins / ip-geo-block /
后,您就可以再次以管理员身份登录。
请记住,您应该在重新配置后上传原始版本以停用此功能。
本文档
也可以为您提供帮助。
我是否必须打开所有选项才能增强安全性? 是的。粗略地说,此插件的策略构建如下:
按国家/地区划分
它阻止来自您国外的恶意请求。
防止零日漏洞
它阻止来自您所在国家/地区的恶意请求。
强制加载WP核
它阻止上述两个未涵盖的请求。
查询中的错误签名
它阻止了上述三个中未涵盖的请求。 请尝试“
最适合后端
”但是吨位于此插件设置页面的底部,便于设置。另请参阅“
目标设置的最佳实践”中的更多详细信息。 此插件是否验证了所有请求? 不幸的是,没有。此插件无法处理WordPress未解析的请求。换句话说,即使它在WordPress安装目录中,也不能通过此插件验证与WordPress无关的独立文件(PHP,CGI或某些可删除的东西)。
但是有例外:当为
插件区域
或
主题区域启用“强制加载WP核”时,一个独立的PHP文件变得可以被阻止。有时这种文件有一些漏洞。此功能可保护您的网站免受此类情况的影响。 如何解决“抱歉,您的请求无法接受。”? 如果您遇到此消息,请参阅此文档
以解决阻止问题。
如果您无法解决问题,请在支持论坛
上告诉我。您在此插件中的日志以及“
插件设置”中的“安装信息”将有助于解决此问题。 如何修复“无法写入”错误? 当您启用“强制加载WP核
”选项时,此插件将尝试在
/ wp-content / plugins / 中配置 .htaccess 和
/ wp-content / themes / 目录,以保护您的网站免受对
OMG插件和主题的恶意攻击。
但是某些服务器不对 .htaccess
给WordPress提供读/写权限。在这种情况下,您可以自己配置
.htaccess 文件而不是启用“
强制加载WP核”选项。
请参阅“如何解决权限问题?
“以便修复此错误。
RSS