Direttorju tal-Artikoli
Iddiżattiva kompletament WordPress Il-front-end għandu funzjoni ta' tiftix nattiva biex jipprevjeni li d-database tiġi mgħobbija żżejjed bl-iskennjar.
Id-database qed tiġġarraf mhux għax il-websajt tiegħek għandha wisq kontenut, iżda għax għadek qed tuża dik it-tfittxija nattiva ta' WordPress li hija redikolament ineffiċjenti.
Ħafna sidien ta’ websajts jinjoraw fatt wieħed: il-front end... ?s= Il-parametri tat-tiftix huma favoriti tal-hackers u l-iskanners.
Jekk xi ħadd jibqa' jagħmel talbiet lill-interfaċċja tat-tiftix, id-database tiegħek tkun imġiegħla tesegwixxi eluf ta' mistoqsijiet bla sens.
Ir-riżultat? L-użu tas-CPU żdied sew, l-użu tal-memorja sploda, u l-websajt iġġarraf.
Din mhix esaġerazzjoni, iżda esperjenza reali u ta’ wġigħ ta’ għadd kbir ta’ siti.
Għaliex tiddiżattiva t-tfittxija nattiva ta' WordPress?
Il-funzjoni ta' tiftix integrata ta' WordPress hija essenzjalment mistoqsija LIKE b'test sħiħ fid-database.
Din il-mistoqsija hija estremament ineffiċjenti, speċjalment meta n-numru ta' artikli jaqbeż l-1; tfittxija waħda tista' tieħu aktar minn 0.5 sekondi.
Jekk xi ħadd juża web crawler jew skript ta' attakk biex jibgħat għexieren ta' talbiet ta' tiftix kull sekonda, id-database tiegħek se tiġi mgħobbija istantanjament.
Skont id-dokumentazzjoni uffiċjali ta' WordPress, it-tiftix nattiv m'għandu l-ebda mekkaniżmu ta' protezzjoni u huwa kompletament espost għall-front end. Dan ifisser li l-attakkanti jistgħu jisfruttaw dan il-punt tad-dħul mingħajr lanqas biss jidħlu.
Soluzzjoni alternattiva: Qabbad ma' magna tat-tiftix aktar intelliġenti
Ħafna websajts professjonali m'għadhomx jiddependu fuq it-tfittxija nattiva ta' WordPress.
Pereżempju, aċċess Tiftix tal-Programmazzjoni tal-Google jew Algolia Servizzi ta' tiftix minn partijiet terzi bħal dawn mhux biss huma veloċi, iżda jipprovdu wkoll riżultati aktar preċiżi.
Aktar importanti minn hekk, dawn is-servizzi mhux se jfixklu d-database tiegħek għax il-mistoqsijiet kollha jsiru esternament.
Mela jekk il-websajt tiegħekpożizzjoniJekk huwa sit ta' għodda, sit ta' blog, jew saħansitra sit li diġà jiddependi fuq tiftix estern, m'hemm l-ebda raġuni biex tkompli tinżamm il-funzjoni ta' tiftix integrata ta' WordPress.
Iddiżattiva kompletament l-implimentazzjoni tal-kodiċi tat-tiftix front-end ta' WordPress
L-aktar mod dirett huwa li tiffoka fuq it-tema. functions.php Żid il-kodiċi li ġej mal-fajl:
// 禁用 WordPress 前台搜索功能,防止被扫描拖垮数据库
function disable_wp_search( $query, $error = true ) {
if ( is_search() && !is_admin() ) {
$query->is_search = false;
$query->query_vars['s'] = false;
$query->query['s'] = false;
if ( $error == true ) {
// 直接返回 404 页面,不走任何数据库查询
$query->set_404();
status_header( 404 );
nocache_headers();
}
}
}
add_action( 'parse_query', 'disable_wp_search' );
add_filter( 'get_search_form', '__return_empty_string' );
Il-loġika ta' dan il-kodiċi hija sempliċi ħafna:
- Ladarba tiġi skoperta talba ta' tiftix fuq quddiem nett, il-mistoqsijiet tad-database jiġu mblukkati immedjatament.
- Ir-ritorn għal paġna 404 jimblokka kompletament il-punt tad-dħul.
- Fl-istess ħin, il-formola tat-tiftix tneħħiet biex jiġu evitati azzjonijiet aċċidentali mill-utent.
Il-vantaġġ ta' dan il-metodu huwa li anke jekk attakkant jagħmel bosta talbiet... ?s=xxxDan mhux se jqajjem xi mistoqsijiet fid-database.
Implimentazzjoni aktar eleganti: l-użu ta' Fluent Snippets
Jekk ma tridx timmodifika direttament il-fajls tat-tema, tista' tuża... Siltiet Fluwenti plugin.
Dan il-plugin jippermettilek iżżid siltiet ta' kodiċi direttament fl-isfond, u tara l-effetti u l-modifiki. functions.php L-istess, iżda aktar sigur.
Ladarba tkun attivata, tista' faċilment timmaniġġja l-kodiċi personalizzat kollu tiegħek mingħajr ma tinkwieta dwar l-aġġornamenti tat-tema li jissostitwixxuh.
Riżultati attwali: Il-pressjoni fuq id-database naqset drastikament.
F'konfigurazzjoni ta' CPU b'2 qlub + 4GB RAM Fuq il-VPS, meta t-tfittxija nattiva għamlet 50 talba kull sekonda, l-użu tas-CPU tad-database żdied għal 95%.
Wara li ddiżattivajt it-tfittxija, l-istess talba rritornat żball 404 direttament, u t-tagħbija tad-database kienet kważi żero.
Huwa għalhekk li ħafna esperti tas-sigurtà jirrakkomandaw bil-qawwa li titfi t-tfittxija nattiva ta' WordPress immedjatament jekk ma jkollokx bżonnha.
Ir-riċerkaturi tas-sigurtà ddikjaraw espliċitament fil-blog uffiċjali ta' Sucuri:
"It-tiftix nattiv ta' WordPress huwa wieħed mill-aktar punti ta' dħul faċli biex jiġi sfruttat; l-attakkanti jistgħu joħolqu attakki ta' ċaħda ta' servizz billi jagħmlu talbiet ta' tiftix frekwenti."
Din id-dikjarazzjoni hija biżżejjed biex tispjega l-problema.
Bħala konklużjoni: Is-sigurtà mhijiex għażla, iżda kors obbligatorju.
Is-sigurtà tal-websajt mhijiex biss bonus, hija kwistjoni ta' ħajja jew mewt.
Id-diżattivazzjoni tat-tfittxija nattiva ta' WordPress tista' tidher bħala azzjoni żgħira, iżda tista' ssalva d-database tiegħek milli tkun mgħobbija żżejjed.
F'din l-era ta' tagħbija żejda ta' informazzjoni, l-għerf veru ma jinsabx fiż-żieda ta' karatteristiċi, iżda fit-twarrib deċiżiv ta' dawk li huma ineffiċjenti jew perikolużi.
Ftakar: Is-sigurtà mhijiex spiża, hija valur.
Jekk għadek qed toqgħod taħseb, staqsi lilek innifsek dan: Tippreferi tħalli d-database tiegħek tiġġarraf fost id-daħq ta' dawk li jattakkawk, jew tippreferi tieħu kontroll tas-sitwazzjoni?
Hope Chen Weiliang Blog ( https://www.chenweiliang.com/ L-artiklu "Id-Diżattivazzjoni Kompleta tal-Funzjoni ta' Tiftix Nattiv f'WordPress biex Tipprevjeni l-Iskennjar ta' Programmi Malizzjużi milli Jiġbed 'l Isfel id-Database," maqsum hawn, jista' jkun ta' għajnuna għalik.
Merħba biex taqsam il-link ta' dan l-artikolu:https://www.chenweiliang.com/cwl-34192.html