X

Como proteger o WordPress contra solicitações maliciosas de URL

Última atualização em por Debjit Saha
LinkedInPinShares0
Snippets by IsItWP

Você está procurando uma maneira de proteger seu site WordPress contra solicitações de URL mal-intencionadas? Embora provavelmente exista um plug-in para isso, criamos um trecho de código rápido que você pode usar para proteger o WordPress contra solicitações de URL mal-intencionadas no WordPress.

Instruções:

Tudo o que você precisa fazer é adicionar esse código ao arquivo .htaccess do seu tema.


$request_uri = $_SERVER['REQUEST_URI'];
$query_string = $_SERVER['QUERY_STRING'];
$user_agent = $_SERVER['HTTP_USER_AGENT'];

// request uri
if (	//strlen($request_uri) > 255 || 
	stripos($request_uri, 'eval(') || 
	stripos($request_uri, 'CONCAT') || 
	stripos($request_uri, 'UNION+SELECT') || 
	stripos($request_uri, '(null)') || 
	stripos($request_uri, 'base64_') || 
	stripos($request_uri, '/localhost') || 
	stripos($request_uri, '/pingserver') || 
	stripos($request_uri, '/config.') || 
	stripos($request_uri, '/wwwroot') || 
	stripos($request_uri, '/makefile') || 
	stripos($request_uri, 'crossdomain.') || 
	stripos($request_uri, 'proc/self/environ') || 
	stripos($request_uri, 'etc/passwd') || 
	stripos($request_uri, '/https/') || 
	stripos($request_uri, '/http/') || 
	stripos($request_uri, '/ftp/') || 
	stripos($request_uri, '/cgi/') || 
	stripos($request_uri, '.cgi') || 
	stripos($request_uri, '.exe') || 
	stripos($request_uri, '.sql') || 
	stripos($request_uri, '.ini') || 
	stripos($request_uri, '.dll') || 
	stripos($request_uri, '.asp') || 
	stripos($request_uri, '.jsp') || 
	stripos($request_uri, '/.bash') || 
	stripos($request_uri, '/.git') || 
	stripos($request_uri, '/.svn') || 
	stripos($request_uri, '/.tar') || 
	stripos($request_uri, ' ') || 
	stripos($request_uri, '<') || 
	stripos($request_uri, '>') || 
	stripos($request_uri, '/=') || 
	stripos($request_uri, '...') || 
	stripos($request_uri, '+++') || 
	stripos($request_uri, '://') || 
	stripos($request_uri, '/&&') || 
	// query strings
	stripos($query_string, '?') || 
	stripos($query_string, ':') || 
	stripos($query_string, '[') || 
	stripos($query_string, ']') || 
	stripos($query_string, '../') || 
	stripos($query_string, '127.0.0.1') || 
	stripos($query_string, 'loopback') || 
	stripos($query_string, '%0A') || 
	stripos($query_string, '%0D') || 
	stripos($query_string, '%22') || 
	stripos($query_string, '%27') || 
	stripos($query_string, '%3C') || 
	stripos($query_string, '%3E') || 
	stripos($query_string, '%00') || 
	stripos($query_string, '%2e%2e') || 
	stripos($query_string, 'union') || 
	stripos($query_string, 'input_file') || 
	stripos($query_string, 'execute') || 
	stripos($query_string, 'mosconfig') || 
	stripos($query_string, 'environ') || 
	//stripos($query_string, 'scanner') || 
	stripos($query_string, 'path=.') || 
	stripos($query_string, 'mod=.') || 
	// user agents
	stripos($user_agent, 'binlar') || 
	stripos($user_agent, 'casper') || 
	stripos($user_agent, 'cmswor') || 
	stripos($user_agent, 'diavol') || 
	stripos($user_agent, 'dotbot') || 
	stripos($user_agent, 'finder') || 
	stripos($user_agent, 'flicky') || 
	stripos($user_agent, 'libwww') || 
	stripos($user_agent, 'nutch') || 
	stripos($user_agent, 'planet') || 
	stripos($user_agent, 'purebot') || 
	stripos($user_agent, 'pycurl') || 
	stripos($user_agent, 'skygrid') || 
	stripos($user_agent, 'sucker') || 
	stripos($user_agent, 'turnit') || 
	stripos($user_agent, 'vikspi') || 
	stripos($user_agent, 'zmeu')
) {
	@header('HTTP/1.1 403 Forbidden');
	@header('Status: 403 Forbidden');
	@header('Connection: Close');
	@exit;
}

Observação: Se esta é a primeira vez que você adiciona trechos de código no WordPress, consulte nosso guia sobre como copiar/colar corretamente trechos de código no WordPress para não danificar seu site acidentalmente.

Se você gostou desse snippet de código, considere dar uma olhada em nossos outros artigos no site, como: 18 melhores plug-ins de comentários do WordPress e como criar um formulário pop-up no WordPress.

LinkedInPinShares0

Comentários   Deixe uma resposta

  1. Na Playing dice setembro 22, 2013 em 10:31 am

    thanks

    Responder
  2. Paul junho 29, 2012 em 5:15 am

    He Kevin, is this the same stuff what Secure WordPress (http://wordpress.org/extend/plugins/secure-wordpress/) does, see list item 11?

    Responder
  3. Drew Jaynes fevereiro 24, 2012 em 9:22 am

    User levels were deprecated in WP 3.0, you should use actual capabilities or roles in your current_user_can check, e.g.
    if ( ! current_user_can( 'administrator' ) ) {

    Responder
    1. Kevin Chard fevereiro 24, 2012 em 12:17 pm

       Very true Drew, ill update the snippet thanks!

      Responder
  4. Ty fevereiro 22, 2012 em 4:24 pm

    Can I just add this code to my functions.php plugin?

    I’d also like to see code for POST protection.

    Responder
    1. Kevin Chard fevereiro 24, 2012 em 12:16 pm

       the best way to include this I find it to place it within the mu-plugins/ folder if you don’t have one you can create one. This will force the plugin to run as a must use plugin. Download the zip above that is the best way to run it,

      Responder
  5. SB fevereiro 22, 2012 em 11:33 am

    This will only protect a GET request, like index.php?name=eval(base64_decode(EVIL+CODE

    But in the WordPress Forum a lot of people are getting hacked via Post requests, and then this code will not protect.

    Do you have something similar but for POST?

    Responder

Adicionar um comentário

Ficamos felizes por você ter optado por deixar um comentário. Lembre-se de que todos os comentários são moderados de acordo com nossa política de privacidade, e todos os links são nofollow. NÃO use palavras-chave no campo do nome. Vamos ter uma conversa pessoal e significativa.

WordPress Launch Checklist

A lista de verificação definitiva para o lançamento do WordPress

Compilamos todos os itens essenciais da lista de verificação para o lançamento de seu próximo site WordPress em um ebook prático.
Sim, envie-me o livro eletrônico gratuito grátis!
Copyright © 2015 - 2024 WPBeginner LLC. Todos os direitos reservados. Gerenciado por Awesome Motive Inc.

OBSERVAÇÃO EDITORIAL: as opiniões expressas aqui são exclusivamente do autor, e não de qualquer empresa de hospedagem, provedor de plug-ins, empresa de temas, Syed Balkhi ou WordPress Foundation, e não foram revisadas, aprovadas ou endossadas por nenhuma dessas entidades.

AVISO LEGAL: Fazemos grandes esforços para manter dados confiáveis sobre todas as ofertas apresentadas. No entanto, esses dados são fornecidos sem garantia. Os usuários devem sempre verificar o site oficial do provedor para obter os termos e detalhes atuais. As ofertas de produtos que aparecem no site são de respectivas empresas de hospedagem, empresas de plugins e empresas de temas das quais o IsItWP recebe remuneração. Essa remuneração pode afetar como e onde os produtos aparecem neste site (incluindo, por exemplo, a ordem em que aparecem). Este site não inclui todos os produtos WordPress ou todas as ofertas de produtos disponíveis.