Wordpress Ningx:如何使用特定的查询参数值筛选请求?
为了保护经常受到攻击的Wordpress站点的安全,我尝试对所有试图上传wp-config.php的请求使用fo过滤器(即返回404)。 这些要求是:Wordpress Ningx:如何使用特定的查询参数值筛选请求?,wordpress,nginx,url-parameters,Wordpress,Nginx,Url Parameters,为了保护经常受到攻击的Wordpress站点的安全,我尝试对所有试图上传wp-config.php的请求使用fo过滤器(即返回404)。 这些要求是: GET /wp-content/plugins/recent-backups/download-file.php?file_link=../../../wp-config.php GET /wp-content/themes/parallelus-mingle/framework/utilities/download/getfile.php?fi
GET /wp-content/plugins/recent-backups/download-file.php?file_link=../../../wp-config.php
GET /wp-content/themes/parallelus-mingle/framework/utilities/download/getfile.php?file=../../../../../../wp-config.php
GET /wp-content/plugins/imdb-widget/pic.php?url=../../../wp-config.php
提前感谢您可以对整个uri(包括查询字符串)测试
$request\u uri$args$query\u stringserverifif ($request_uri ~* wp-config\.php) { return 404; }
请参阅关于使用
的说明,如果您可以对整个uri(包括查询字符串)测试$request\u uri
,或对整个查询字符串测试$args
(又称$query\u string
)
server
块顶部附近的if
语句应该会屏蔽所有要禁止的请求
例如:
if ($request_uri ~* wp-config\.php) { return 404; }
请参见关于if
的使用,非常感谢您的回答。它的工作,但我想知道它是否会永远工作的注意,如果在国际单项体育联合会。我不得不说,我不清楚if是否有效:“if is evil”->可能有效,也可能无效?返回在if
块中是完全安全的。如果你需要修改我的答案,我只引用申请说明。非常感谢你的回答。它的工作,但我想知道它是否会永远工作的注意,如果在国际单项体育联合会。我不得不说,我不清楚if是否有效:“if is evil”->可能有效,也可能无效?返回在if
块中是完全安全的。我只是引用申请说明,以防你需要修改我的答案。