Director articol
Dezactivați complet WordPress Frontend-ul dispune de o funcție de căutare nativă pentru a preveni suprasolicitarea bazei de date prin scanare.
Baza de date se blochează nu pentru că site-ul tău are prea mult conținut, ci pentru că încă folosești acea căutare nativă WordPress ridicol de ineficientă.
Mulți proprietari de site-uri web trec cu vederea un fapt: front-end-ul... ?s= Parametrii de căutare sunt preferați de hackeri și scanere.
Dacă cineva continuă să facă cereri către interfața de căutare, baza ta de date va fi forțată să execute mii de interogări fără sens.
Rezultatul? Utilizarea procesorului a crescut vertiginos, utilizarea memoriei a explodat, iar site-ul web s-a blocat.
Aceasta nu este o exagerare, ci o experiență reală și dureroasă a nenumăratelor site-uri.
De ce să dezactivez căutarea nativă WordPress?
Funcția de căutare încorporată în WordPress este, în esență, o interogare LIKE full-text în baza de date.
Această interogare este extrem de ineficientă, mai ales când numărul de articole depășește 1; o singură căutare poate dura mai mult de 0.5 secunde.
Dacă cineva folosește un crawler web sau un script de atac pentru a trimite zeci de cereri de căutare pe secundă, baza ta de date va fi copleșită instantaneu.
Conform documentației oficiale WordPress, căutarea nativă nu are mecanisme de protecție și este complet expusă front-end-ului. Aceasta înseamnă că atacatorii pot exploata acest punct de intrare fără a se conecta măcar.
Soluție alternativă: Conectați-vă la un motor de căutare mai inteligent
Multe site-uri web profesionale nu se mai bazează pe căutarea nativă a WordPress.
De exemplu, accesul Căutare Google Programming sau Algolia Astfel de servicii de căutare terțe nu sunt doar rapide, ci oferă și rezultate mai precise.
Mai important, aceste servicii nu vă vor afecta baza de date, deoarece toate interogările sunt efectuate extern.
Deci, dacă site-ul dvs. webpoziţieDacă este vorba de un site de instrumente, un site de blog sau chiar un site care se bazează deja pe căutare externă, nu există niciun motiv pentru a continua să păstrăm funcția de căutare încorporată în WordPress.
Dezactivați complet implementarea codului de căutare front-end WordPress
Cea mai directă modalitate este să te concentrezi asupra temei. functions.php Adăugați următorul cod în fișier:
// 禁用 WordPress 前台搜索功能,防止被扫描拖垮数据库
function disable_wp_search( $query, $error = true ) {
if ( is_search() && !is_admin() ) {
$query->is_search = false;
$query->query_vars['s'] = false;
$query->query['s'] = false;
if ( $error == true ) {
// 直接返回 404 页面,不走任何数据库查询
$query->set_404();
status_header( 404 );
nocache_headers();
}
}
}
add_action( 'parse_query', 'disable_wp_search' );
add_filter( 'get_search_form', '__return_empty_string' );
Logica acestui cod este foarte simplă:
- Odată ce este detectată o solicitare de căutare în prim-plan, interogările bazei de date sunt blocate imediat.
- Revenirea la o pagină 404 blochează complet punctul de intrare.
- În același timp, formularul de căutare a fost eliminat pentru a preveni acțiunile accidentale ale utilizatorilor.
Avantajul acestei metode este că, chiar dacă un atacator face numeroase solicitări... ?s=xxxNu va declanșa nicio interogare în baza de date.
O implementare mai elegantă: utilizarea fragmentelor Fluent
Dacă nu doriți să modificați direct fișierele temei, puteți utiliza... Fragmente fluente conecteaza.
Acest plugin vă permite să adăugați fragmente de cod direct în fundal și să vedeți efectele și modificările. functions.php La fel, dar mai sigur.
Odată activat, puteți gestiona cu ușurință tot codul personalizat fără a vă face griji că actualizările temei îl vor suprascrie.
Rezultate reale: Presiunea asupra bazei de date a scăzut brusc.
Într-o configurație de Procesor cu 2 nuclee + 4 GB RAM Pe VPS, când căutarea nativă efectua 50 de solicitări pe secundă, utilizarea procesorului bazei de date a crescut la 95%.
După dezactivarea căutării, aceeași solicitare a returnat direct o eroare 404, iar încărcarea bazei de date a fost aproape zero.
De aceea, mulți experți în securitate recomandă insistent dezactivarea imediată a căutării native din WordPress dacă nu aveți nevoie de ea.
Cercetătorii în domeniul securității au declarat explicit pe blogul oficial al Sucuri:
„Căutarea nativă WordPress este unul dintre cele mai ușor de exploatat puncte de intrare; atacatorii pot crea atacuri de tip denial-of-service prin efectuarea de solicitări frecvente de căutare.”
Această afirmație este suficientă pentru a explica problema.
În concluzie: Siguranța nu este o opțiune, ci un curs obligatoriu.
Securitatea site-ului web nu este doar un bonus, ci o chestiune de viață și de moarte.
Dezactivarea căutării native în WordPress poate părea o acțiune minoră, dar poate salva suprasolicitarea bazei de date.
În această eră a supraîncărcării cu informații, adevărata înțelepciune nu constă în adăugarea de funcții, ci în eliminarea decisivă a celor ineficiente sau periculoase.
Nu uita: Siguranța nu este un cost, ci o valoare.
Dacă încă eziți, întreabă-te: Ai prefera să lași baza ta de date să se prăbușească în mijlocul râselor atacatorilor sau ai prefera să preiei controlul situației?
Hope Chen Weiliang Blog ( https://www.chenweiliang.com/ Articolul „Dezactivarea completă a funcției de căutare nativă în WordPress pentru a împiedica scanarea programelor rău intenționate să tragă în jos baza de date”, distribuit aici, ți-ar putea fi de folos.
Bine ați venit să distribuiți linkul acestui articol:https://www.chenweiliang.com/cwl-34192.html