X

Come proteggere WordPress da richieste URL dannose

Ultimo aggiornamento il di Debjit Saha
LinkedInPinCondivisioni0
Snippet di IsItWP

Stai cercando un modo per proteggere il tuo sito WordPress da richieste URL dannose? Sebbene esista probabilmente un plugin per questo, abbiamo creato un rapido snippet di codice che puoi utilizzare per proteggere WordPress da richieste URL dannose in WordPress.

Istruzioni:

Tutto quello che devi fare è aggiungere questo codice al file .htaccess del tuo tema.

$request_uri = $_SERVER['REQUEST_URI'];
$query_string = $_SERVER['QUERY_STRING'];
$user_agent = $_SERVER['HTTP_USER_AGENT'];

// request uri
if (	//strlen($request_uri) > 255 || 
	stripos($request_uri, 'eval(') || 
	stripos($request_uri, 'CONCAT') || 
	stripos($request_uri, 'UNION+SELECT') || 
	stripos($request_uri, '(null)') || 
	stripos($request_uri, 'base64_') || 
	stripos($request_uri, '/localhost') || 
	stripos($request_uri, '/pingserver') || 
	stripos($request_uri, '/config.') || 
	stripos($request_uri, '/wwwroot') || 
	stripos($request_uri, '/makefile') || 
	stripos($request_uri, 'crossdomain.') || 
	stripos($request_uri, 'proc/self/environ') || 
	stripos($request_uri, 'etc/passwd') || 
	stripos($request_uri, '/https/') || 
	stripos($request_uri, '/http/') || 
	stripos($request_uri, '/ftp/') || 
	stripos($request_uri, '/cgi/') || 
	stripos($request_uri, '.cgi') || 
	stripos($request_uri, '.exe') || 
	stripos($request_uri, '.sql') || 
	stripos($request_uri, '.ini') || 
	stripos($request_uri, '.dll') || 
	stripos($request_uri, '.asp') || 
	stripos($request_uri, '.jsp') || 
	stripos($request_uri, '/.bash') || 
	stripos($request_uri, '/.git') || 
	stripos($request_uri, '/.svn') || 
	stripos($request_uri, '/.tar') || 
	stripos($request_uri, ' ') || 
	stripos($request_uri, '<') || 
	stripos($request_uri, '>') || 
	stripos($request_uri, '/=') || 
	stripos($request_uri, '...') || 
	stripos($request_uri, '+++') || 
	stripos($request_uri, '://') || 
	stripos($request_uri, '/&&') || 
	// query strings
	stripos($query_string, '?') || 
	stripos($query_string, ':') || 
	stripos($query_string, '[') || 
	stripos($query_string, ']') || 
	stripos($query_string, '../') || 
	stripos($query_string, '127.0.0.1') || 
	stripos($query_string, 'loopback') || 
	stripos($query_string, '%0A') || 
	stripos($query_string, '%0D') || 
	stripos($query_string, '%22') || 
	stripos($query_string, '%27') || 
	stripos($query_string, '%3C') || 
	stripos($query_string, '%3E') || 
	stripos($query_string, '%00') || 
	stripos($query_string, '%2e%2e') || 
	stripos($query_string, 'union') || 
	stripos($query_string, 'input_file') || 
	stripos($query_string, 'execute') || 
	stripos($query_string, 'mosconfig') || 
	stripos($query_string, 'environ') || 
	//stripos($query_string, 'scanner') || 
	stripos($query_string, 'path=.') || 
	stripos($query_string, 'mod=.') || 
	// user agents
	stripos($user_agent, 'binlar') || 
	stripos($user_agent, 'casper') || 
	stripos($user_agent, 'cmswor') || 
	stripos($user_agent, 'diavol') || 
	stripos($user_agent, 'dotbot') || 
	stripos($user_agent, 'finder') || 
	stripos($user_agent, 'flicky') || 
	stripos($user_agent, 'libwww') || 
	stripos($user_agent, 'nutch') || 
	stripos($user_agent, 'planet') || 
	stripos($user_agent, 'purebot') || 
	stripos($user_agent, 'pycurl') || 
	stripos($user_agent, 'skygrid') || 
	stripos($user_agent, 'sucker') || 
	stripos($user_agent, 'turnit') || 
	stripos($user_agent, 'vikspi') || 
	stripos($user_agent, 'zmeu')
) {
	@header('HTTP/1.1 403 Forbidden');
	@header('Status: 403 Forbidden');
	@header('Connection: Close');
	@exit;
}

Nota: Se questa è la prima volta che aggiungi snippet di codice in WordPress, consulta la nostra guida su come copiare / incollare correttamente snippet di codice in WordPress, in modo da non rompere accidentalmente il tuo sito.

Se ti è piaciuto questo snippet di codice, prendi in considerazione la lettura dei nostri altri articoli sul sito come: 18 migliori plugin per commenti di WordPress e come creare un modulo popup in WordPress.

LinkedInPinCondivisioni0

Commenti   Lascia una risposta

  1. Na Playing dice 22 settembre 2013 alle 10:31

    grazie

    Rispondi
  2. Paul 29 giugno 2012 alle 5:15

    Ciao Kevin, è la stessa cosa che fa Secure WordPress (http://wordpress.org/extend/plugins/secure-wordpress/), vedi l'elemento 11 dell'elenco?

    Rispondi
  3. Drew Jaynes 24 febbraio 2012 alle 9:22

    I livelli utente sono stati deprecati in WP 3.0, dovresti usare le capacità o i ruoli effettivi nel tuo controllo current_user_can, ad esempio
    if ( ! current_user_can( 'administrator' ) ) {

    Rispondi
    1. Kevin Chard 24 febbraio 2012 alle 12:17

       Molto vero Drew, aggiornerò lo snippet grazie!

      Rispondi
  4. Ty 22 febbraio 2012 alle 16:24

    Posso semplicemente aggiungere questo codice al mio plugin functions.php?

    Vorrei anche vedere il codice per la protezione POST.

    Rispondi
    1. Kevin Chard 24 febbraio 2012 alle 12:16

       il modo migliore per includerlo lo trovo nel file mu-plugins/ se non ne hai uno puoi crearlo. Questo forzerà il plugin a funzionare come un plugin "must use". Scarica la zip sopra, questo è il modo migliore per eseguirlo,

      Rispondi
  5. SB 22 febbraio 2012 alle 11:33

    Questo proteggerà solo una richiesta GET, come index.php?name=eval(base64_decode(EVIL+CODE

    Ma nel forum di WordPress molte persone vengono hackerate tramite richieste POST, e quindi questo codice non proteggerà.

    Hai qualcosa di simile ma per POST?

    Rispondi

Aggiungi un commento

Siamo lieti che tu abbia scelto di lasciare un commento. Tieni presente che tutti i commenti sono moderati secondo la nostra normativa sulla privacy e tutti i link sono nofollow. NON utilizzare parole chiave nel campo del nome. Avviamo una conversazione personale e significativa.

Checklist per il lancio di WordPress

La Guida Definitiva per il Lancio di WordPress

Abbiamo raccolto tutti gli elementi essenziali della checklist per il lancio del tuo prossimo sito web WordPress in un comodo ebook.
Sì, Inviami l'eBook Gratuito!
Copyright © 2015 - 2026 WPBeginner LLC. Tutti i diritti riservati. Gestito da Awesome Motive Inc.

NOTA EDITORIALE: Le opinioni espresse qui sono solo dell'autore, non di alcun provider di hosting, provider di plugin, provider di temi, Syed Balkhi o Fondazione WordPress, e non sono state revisionate, approvate o altrimenti avallate da nessuna di queste entità.

DISCLAIMER: Ci impegniamo a mantenere dati affidabili su tutte le offerte presentate. Tuttavia, questi dati sono forniti senza garanzia. Gli utenti dovrebbero sempre controllare il sito Web ufficiale del provider per i termini e i dettagli correnti. Le offerte di prodotti che appaiono sul sito Web provengono dalle rispettive società di hosting, società di plugin e società di temi da cui IsItWP riceve un compenso. Questo compenso può influire su come e dove i prodotti appaiono su questo sito (incluso, ad esempio, l'ordine in cui appaiono). Questo sito non include tutti i prodotti WordPress o tutte le offerte di prodotti disponibili.