点击下载

IP地理块

插件描述

您安装主题和插件的次数越多，您的网站越容易受到攻击，即使您安全地强化您的网站。

虽然WordPress.org 提供 优秀的 资源，但由于开发人员人为因素，主题和插件可能经常受到攻击例如缺乏安全意识，滥用和滥用这些资源中的最佳做法。

这个插件专注于洞察这些开发人员的人为因素，而不是在他们被披露后检测特定的攻击向量。这带来了一种名为“ WP Zero-day Exploit Prevention ”和“ WP Metadata Exploit Protection ”的智能且强大的方法。

结合这些方法和IP地址地理定位，您会惊讶地发现在安装几天后，在此插件的日志中阻止了一堆恶意或不受欢迎的访问。

产品特点

设计隐私：
IP地址始终在日志/缓存中记录时加密。此外，它可以匿名化并限制发送给第三方，例如地理位置API或whois服务。

出入境管制：
进入后端的基本和重要入口，如 wp-comments-post.php ， xmlrpc。 php ， wp-login.php ， wp-signup.php ， wp-admin / admin.php ， wp-admin / admin-ajax.php ， wp-admin / admin-post.php 将通过基于IP地址的国家代码进行验证。它允许您将白名单或黑名单配置为对于一组IP地址，使用， CIDR表示法，对于一组IP网络，使用 AS号。

零日漏洞预防：
与基于攻击模式（向量）的其他安全防火墙不同，原始功能“ W ord P ress Z ero-day E xploit P revention“（WP-ZEP）专注于脆弱性模式。它很简单，但仍然很聪明，足以阻止对 wp-admin / * .php ，插件/ * .php 和主题/ * .php 甚至来自允许的国家。它会保护您的网站免受某些类型的攻击，如CSRF，LFI，SQLi，XSS等，，即使您的网站中有一些易受攻击的插件和主题。

防范登录尝试： 为了防止通过暴力破解和反暴力攻击登录表单和XML-RPC，登录次数即使是来自允许的国家，每个IP地址的尝试也会受到限制。

最大限度地减少服务器负载以防止暴力攻击： 您可以将此插件配置为
必须使用插件，以便可以在常规之前加载此插件插件。它可以大大减少服务器上的负载。

防止恶意下载/上传：

可以阻止恶意请求，例如暴露 wp-config.php
或通过易受攻击的插件/主题上传恶意软件。

阻止行为不当的僵尸程序和抓取工具：

一个简单的逻辑可能有助于减少欺诈网站和抓取工具的数量。

支持BuddyPress和bbPress：

您可以配置此插件，以便注册用户可以从任何地方以会员身份登录，而国家可以阻止诸如新用户注册，丢失密码，创建新主题和订阅评论之类的请求。它适用于 BuddyPress
和 bbPress 以帮助减少垃圾邮件。

外部链接的引用抑制器：

当您单击管理屏幕上的外部超链接时，将删除http引用来隐藏您网站的占用空间。

多个IP地理位置数据库源：

MaxMind GeoLite2免费数据库
（需要PHP 5.4.0+）和 IP2Location LITE数据库可以安装在这个插件中。此外，还可以使用免费的Geolocation REST API和whois信息进行审计。 更多，可以为CloudFlare和CloudFront安装专用API类库
作为反向代理服务。

自定义响应：

HTTP响应代码可以选择为 403 Forbidden
拒绝访问页面， 404 Not Found 隐藏页面甚至 200 OK 重定向到首页。 您还可以在父/子主题模板目录中拥有一个人性化页面（如 404.php
）以适合您的网站设计。

验证日志：

可以管理审核攻击模式的有用信息的验证日志。

与完整规范安全插件的合作：

此插件非常精简，可以与其他完整规范的安全插件（如 Wordfence Security
）配合使用。有关页面速度性能，请参阅此报告。

可扩展性：

您可以通过 add_filter（）
自定义此插件的行为预定义的过滤钩。请参阅此软件包中捆绑的 samples.php 中的各种用例。 您还可以通过 Dragan
获取 IP地理允许的扩展名。它使管理员屏幕严格私密，比指定IP地址更灵活。

自我阻止和轻松救援：

网站所有者不喜欢被阻止。这个插件可以防止这种令人伤心的事情，除非你强迫它。此外，如果出现这种情况，您可以轻松地自救
。

清除卸载：

卸载后，您的宝贵mySQL数据库中没有任何内容。因此，您可以随意安装和激活以试用此插件的功能。
归属

此软件包包含由MaxMind分发的GeoLite2库，可从

MaxMind

获得（它需要PHP 5.4.0+），还包括可从以下位置获得的IP2Location开源库： IP2Location 。 还要感谢免费提供以下优质服务和REST API。

http://ip-api.com/

（IPv4，IPv6 /免费用于非商业用途） http://geoiplookup.net/ （IPv4，IPv6 /免费） https://ipinfo.io/ （IPv4，IPv6 /免费）[https://ipapi.com/]（https://ipapi.com/“ipapi – IP地址查询和地理定位API）（IPv4，IPv6 /免费，需要API密钥） https://ipdata.co/ （IPv4，IPv6 /免费，需要API密钥） https://ipstack.com/ （IPv4，IPv6 /注册用户免费，需要API密钥） https://ipinfodb.com/ （IPv4，IPv6 /注册用户免费，需要API密钥）开发

在

WordPress-IP-Geo-Block

推广此插件的开发，并开发了用于处理地理位置数据库的类库在 WordPress-IP-Geo-API 中单独作为“加载项”。 欢迎所有贡献。或者访问我的

开发博客

。 已知问题

拖动后没有显示图像＆amp;在“媒体库”中删除网格视图中的图像。有关详细信息，请参阅

此门票在Github

。 WordPress 4.5 ， rel = nofollow 已不再附加到 comment_content中的链接。此更改阻止阻止“服务器端请求伪造”（不是跨站点，而是注释字段中的恶意内部链接）。 WordPress.com移动应用由于其自己的身份验证系统通过XMLRPC无法执行图像上传。 屏幕截图

IP地理插件

IP地理插件

IP地理插件

IP地理插件

IP地理插件

IP地理插件

IP地理插件

IP地理插件

IP地理插件

IP地理插件

IP地理插件安装

使用WordPress仪表板

导航到插件仪表板中的“添加新”搜索“IP地理块”点击“立即安装”激活插件仪表板上的插件，暂停一段时间，然后转到“设置” ＆RAQUO; ‘IP Geo Block’尝试’最适合后端’按钮，便于在此插件的设置页面底部进行设置。

请参阅

文档

以获得最佳设置。 常见问题

使用此插件的网站是否符合GDPR标准？

此插件基于“设计隐私”原则设计，因此您可以顺利运行它到GDPR。为防止个人数据泄露，此插件中的IP地址已加密，默认情况下也可以匿名。它还提供了一些功能，不仅可以手动擦除它们，还可以在超过一定量/时间时自动删除它们。

但是，这些是GDPR要求的一部分，并不保证该网站符合GDPR。有关详细信息，请参阅

3.0.11发行说明

。 此插件是否支持多站点？ 是的。在网络上激活时，可以将设置与网络上的所有站点同步，并在“

插件设置

”部分中启用“网络范围设置”。 此插件是否适用于缓存？ 简答是

YES

，特别是出于安全目的，例如阻止后端和前端的恶意访问。 您可以在“

与cac的兼容性”中找到缓存插件的长答案和兼容性列表他插上

“。 我仍然可以访问黑名单国家。它运作正常吗？ 当然，是的。

有时，当Wordfence安全用户在其实时流量视图中发现某些访问时，会报告此类声明。但请不要担心。在运行WordPress之前，Wordfence使用

auto_prepend_file

指令巧妙地过滤掉对您网站的恶意请求，以包含基于PHP的Web应用程序防火墙。然后，此插件验证通过Wordfence传递的其余请求，因为它们不在WAF规则中，尤其是启用“防止零日漏洞”。 这也可能是由地理位置数据库中国家代码的准确性引起的。实际上，存在相同IP地址具有不同国家代码的情况。

有关详细信息，请参阅“

我仍然可以访问列入黑名单的国家/地区。

“。 如何测试此插件的工作原理？ 最简单的方法是使用

免费代理浏览器插件

。 另一个是使用

http头浏览器插件

。 您可以为

X-Forwarded-For

标头添加IP地址，以模拟代理后面的访问。在这种情况下，您应该将 HTTP_X_FORWARDED_FOR 添加到“设置”选项卡上的“ $ _SERVER密钥以获取额外IP ”。 详见“

如何测试预防攻击

”。 我被锁了！我该怎么办？ 请首先在登录页面

的

快速恢复中找到解决方案。 您还可以通过编辑

ip-geo-block.php

底部附近的“紧急功能”代码部分找到另一种解决方案。这鳕鱼可以通过将行顶部的 / * （打开多行注释）替换为 // （单行注释）或 * 在 * / 的行尾（关闭多行注释）。 / ** *如果您自己被锁定，则无效阻止行为。 * *使用方法：激活以下代码并通过FTP上传此文件。 * // * – 在此行的顶部或末尾添加’/’以激活以下内容 – * / function ip_geo_block_emergency（$ validate，$ settings）{$ validate [‘result’] =’pass’; return $ validate;} add_filter（’ip-geo-block-login’，’ip_geo_block_emergency’，1,2）; add_filter（’ip-geo-block-admin’，’ip_geo_block_emergency’，1,2）; // * /

 请注意，您不必使用适当的编辑器

。

保存并通过FTP将其上传到服务器上的 / wp-content / plugins / ip-geo-block /

后，您就可以再次以管理员身份登录。

请记住，您应该在重新配置后上传原始版本以停用此功能。

本文档

也可以为您提供帮助。

我是否必须打开所有选项才能增强安全性？ 是的。粗略地说，此插件的策略构建如下：

按国家/地区划分

它阻止来自您国外的恶意请求。
防止零日漏洞

它阻止来自您所在国家/地区的恶意请求。
强制加载WP核

它阻止上述两个未涵盖的请求。
查询中的错误签名

它阻止了上述三个中未涵盖的请求。 请尝试“
最适合后端

”但是吨位于此插件设置页面的底部，便于设置。另请参阅“

目标设置的最佳实践”中的更多详细信息。 此插件是否验证了所有请求？ 不幸的是，没有。此插件无法处理WordPress未解析的请求。换句话说，即使它在WordPress安装目录中，也不能通过此插件验证与WordPress无关的独立文件（PHP，CGI或某些可删除的东西）。

但是有例外：当为

插件区域

或

主题区域启用“强制加载WP核”时，一个独立的PHP文件变得可以被阻止。有时这种文件有一些漏洞。此功能可保护您的网站免受此类情况的影响。 如何解决“抱歉，您的请求无法接受。”？ 如果您遇到此消息，请参阅此文档

以解决阻止问题。

如果您无法解决问题，请在支持论坛

上告诉我。您在此插件中的日志以及“

插件设置”中的“安装信息”将有助于解决此问题。 如何修复“无法写入”错误？ 当您启用“强制加载WP核

”选项时，此插件将尝试在

/ wp-content / plugins / 中配置 .htaccess 和 / wp-content / themes / 目录，以保护您的网站免受对 OMG插件和主题的恶意攻击。 但是某些服务器不对 .htaccess

给WordPress提供读/写权限。在这种情况下，您可以自己配置

.htaccess 文件而不是启用“强制加载WP核”选项。 请参阅“如何解决权限问题？

“以便修复此错误。

评论