मालिसियस प्रोग्रामहरूलाई डाटाबेस क्र्यास हुनबाट रोक्नको लागि WordPress मा नेटिभ खोज प्रकार्यलाई पूर्ण रूपमा असक्षम पार्नुहोस्

अपडेट गरिएको: अगस्ट २८, २०२१

लेख निर्देशिका

पूर्ण रूपमा असक्षम पार्नुहोस् WordPress फ्रन्ट-एन्डमा स्क्यानिङले डाटाबेसलाई थिच्नबाट रोक्नको लागि नेटिभ खोज प्रकार्य रहेको छ।

तपाईंको वेबसाइटमा धेरै सामग्री भएको कारणले डाटाबेस क्र्यास भइरहेको छैन, तर तपाईंले अझै पनि त्यो हास्यास्पद रूपमा अकुशल नेटिभ वर्डप्रेस खोज प्रयोग गरिरहनुभएको कारणले हो।

धेरै वेबसाइट मालिकहरूले एउटा तथ्यलाई बेवास्ता गर्छन्: फ्रन्ट-एन्ड... ?s= खोज प्यारामिटरहरू ह्याकरहरू र स्क्यानरहरूको मनपर्ने हुन्।

यदि कसैले खोज इन्टरफेसमा अनुरोध गरिरहन्छ भने, तपाईंको डाटाबेस हजारौं अर्थहीन प्रश्नहरू कार्यान्वयन गर्न बाध्य हुनेछ।

नतिजा? CPU प्रयोग बढ्यो, मेमोरी प्रयोग विस्फोट भयो, र वेबसाइट क्र्यास भयो।

यो अतिशयोक्ति होइन, तर अनगिन्ती साइटहरूको वास्तविक र पीडादायी अनुभव हो।

वर्डप्रेस नेटिभ खोज किन असक्षम पार्ने?

वर्डप्रेसको निर्मित खोज प्रकार्य मूलतः डाटाबेसमा पूर्ण-पाठ LIKE क्वेरी हो।

यो क्वेरी अत्यन्तै अक्षम छ, विशेष गरी जब लेखहरूको संख्या १०,००० भन्दा बढी हुन्छ; एकल खोजले ०.५ सेकेन्ड भन्दा बढी लिन सक्छ।

यदि कसैले प्रति सेकेन्ड दर्जनौं खोज अनुरोधहरू पठाउन वेब क्रलर वा आक्रमण स्क्रिप्ट प्रयोग गर्छ भने, तपाईंको डाटाबेस तुरुन्तै भरिनेछ।

आधिकारिक वर्डप्रेस कागजात अनुसार, नेटिभ खोजमा कुनै सुरक्षा संयन्त्र छैन र यो पूर्ण रूपमा अगाडिको भागमा खुला छ। यसको अर्थ आक्रमणकारीहरूले लगइन नगरी पनि यो प्रविष्टि बिन्दुको शोषण गर्न सक्छन्।

वैकल्पिक समाधान: एउटा स्मार्ट खोज इन्जिनमा जडान गर्नुहोस्

धेरै व्यावसायिक वेबसाइटहरू अब WordPress को नेटिभ खोजमा भर पर्दैनन्।

उदाहरणका लागि, पहुँच गुगल प्रोग्रामिङ खोज वा अल्गोलिया यस्ता तेस्रो-पक्ष खोज सेवाहरू छिटो मात्र छैनन्, तर अझ सटीक परिणामहरू पनि प्रदान गर्छन्।

अझ महत्त्वपूर्ण कुरा, यी सेवाहरूले तपाईंको डाटाबेसलाई कमजोर बनाउने छैनन् किनभने सबै प्रश्नहरू बाह्य रूपमा गरिन्छन्।

त्यसैले यदि तपाईंको वेबसाइटपोजिशनिंगयदि यो उपकरण साइट हो, ब्लग साइट हो, वा पहिले नै बाह्य खोजमा निर्भर साइट हो भने, WordPress को निर्मित खोज प्रकार्यलाई कायम राख्नुको कुनै कारण छैन।

वर्डप्रेस फ्रन्ट-एन्ड खोज कोड कार्यान्वयन पूर्ण रूपमा असक्षम पार्नुहोस्

सबैभन्दा प्रत्यक्ष तरिका भनेको विषयमा ध्यान केन्द्रित गर्नु हो। functions.php फाइलमा निम्न कोड थप्नुहोस्:

// 禁用 WordPress 前台搜索功能，防止被扫描拖垮数据库
function disable_wp_search( $query, $error = true ) {
    if ( is_search() && !is_admin() ) {
        $query->is_search = false;
        $query->query_vars['s'] = false;
        $query->query['s'] = false;
        if ( $error == true ) {
            // 直接返回 404 页面，不走任何数据库查询
            $query->set_404();
            status_header( 404 );
            nocache_headers();
        }
    }
}
add_action( 'parse_query', 'disable_wp_search' );
add_filter( 'get_search_form', '__return_empty_string' );

यस कोडको तर्क धेरै सरल छ:

एक पटक अग्रभूमि खोज अनुरोध पत्ता लागेपछि, डाटाबेस क्वेरीहरू तुरुन्तै ब्लक हुन्छन्।
४०४ पृष्ठमा फर्कँदा प्रवेश बिन्दु पूर्ण रूपमा रोकिन्छ।
साथै, प्रयोगकर्ताको आकस्मिक कार्यहरू रोक्न खोज फारम हटाइएको थियो।

यस विधिको फाइदा यो हो कि आक्रमणकारीले धेरै अनुरोध गरे पनि... ?s=xxxयसले कुनै पनि डाटाबेस प्रश्नहरू ट्रिगर गर्दैन।

अझ सुन्दर कार्यान्वयन: फ्लुएन्ट स्निपेटहरू प्रयोग गर्दै

यदि तपाईं थिम फाइलहरू सिधै परिमार्जन गर्न चाहनुहुन्न भने, तपाईं प्रयोग गर्न सक्नुहुन्छ... धाराप्रवाह स्निपेटहरू जोड्नु।

यो प्लगइनले तपाईंलाई पृष्ठभूमिमा सिधै कोड स्निपेटहरू थप्न र प्रभावहरू र परिमार्जनहरू हेर्न अनुमति दिन्छ। functions.php उस्तै, तर सुरक्षित।

एकचोटि सक्षम भएपछि, तपाईंले थिम अपडेटहरू अधिलेखन हुने बारे चिन्ता नगरी आफ्नो सबै अनुकूलन कोड सजिलै व्यवस्थापन गर्न सक्नुहुन्छ।

वास्तविक परिणामहरू: डाटाबेसको दबाब तीव्र रूपमा घट्यो।

को कन्फिगरेसनमा २-कोर CPU + ४GB RAM VPS मा, जब नेटिभ खोजले प्रति सेकेन्ड ५० अनुरोध गर्‍यो, डाटाबेस CPU उपयोग ९५% मा बढ्यो।

खोज असक्षम पारेपछि, उही अनुरोधले सिधै ४०४ त्रुटि फर्कायो, र डाटाबेस लोड लगभग शून्य थियो।

यही कारणले गर्दा धेरै सुरक्षा विज्ञहरूले तपाईंलाई आवश्यक नभएको खण्डमा तुरुन्तै वर्डप्रेसको नेटिभ खोज बन्द गर्न कडा सिफारिस गर्छन्।

सुरक्षा अनुसन्धानकर्ताहरूले सुकुरीको आधिकारिक ब्लगमा स्पष्ट रूपमा भनेका छन्:

"वर्डप्रेस नेटिभ खोज शोषण गर्न सबैभन्दा सजिलो प्रविष्टि बिन्दुहरू मध्ये एक हो; आक्रमणकारीहरूले बारम्बार खोज अनुरोधहरू गरेर सेवा अस्वीकार गर्ने आक्रमणहरू सिर्जना गर्न सक्छन्।"

यो कथन समस्या व्याख्या गर्न पर्याप्त छ।

निष्कर्षमा: सुरक्षा विकल्प होइन, तर अनिवार्य पाठ्यक्रम हो।

वेबसाइट सुरक्षा केवल बोनस मात्र होइन, यो जीवन र मृत्युको कुरा हो।

WordPress को नेटिभ खोज असक्षम पार्नु सानो कार्य जस्तो लाग्न सक्छ, तर यसले तपाईंको डाटाबेसलाई थिचिनबाट बचाउन सक्छ।

जानकारीको अत्यधिक प्रयोगको यस युगमा, साँचो बुद्धिमत्ता सुविधाहरू थप्नुमा होइन, तर अकुशल वा खतरनाकहरूलाई निर्णायक रूपमा त्याग्नुमा निहित छ।

सम्झनुहोस्: सुरक्षा लागत होइन, यो मूल्य हो।

यदि तपाईं अझै पनि हिचकिचाइरहनुभएको छ भने, आफैलाई यो सोध्नुहोस्: के तपाईं आक्रमणकारीहरूको हाँसोको बीचमा आफ्नो डाटाबेस क्र्यास हुन दिनुहुन्छ, वा परिस्थितिलाई नियन्त्रणमा लिनुहुन्छ?

आशा चेन वेइलियाङ ब्लग ( https://www.chenweiliang.com/ यहाँ साझा गरिएको "डेटाबेसलाई ड्र्याग डाउन गर्नबाट दुर्भावनापूर्ण प्रोग्राम स्क्यानिङ रोक्न WordPress मा नेटिभ खोज प्रकार्यलाई पूर्ण रूपमा असक्षम पार्ने" लेख तपाईंको लागि उपयोगी हुन सक्छ।

यस लेखको लिङ्क साझा गर्न स्वागत छ:https://www.chenweiliang.com/cwl-34192.html

थप लुकेका चालहरू अनलक गर्न🔑, हाम्रो टेलिग्राम च्यानलमा सामेल हुन स्वागत छ!

टेलिग्राम च्यानलमा सामेल हुन यहाँ क्लिक गर्नुहोस्

मन परे लाइक र सेयर गर्नुहोस ! तपाईको सेयर र लाइक हाम्रो निरन्तर प्रेरणा हो!

अघिल्लो पोष्ट:Xunlei मा चिनियाँ मोबाइल नम्बरमा स्विच गरेपछि प्रमाणीकरण कोडहरू प्राप्त गर्नुभएन? यहाँ तपाईंको फोनमा नयाँ मोबाइल नम्बर कसरी लिङ्क गर्न बाध्य पार्ने भन्ने बारे चरण-दर-चरण गाइड छ।