Drejtoria e artikujve
Çaktivizo plotësisht WordPress Pjesa e përparme përmban një funksion kërkimi vendas për të parandaluar mbingarkesën e bazës së të dhënave nga skanimi.
Baza e të dhënave po bllokohet jo sepse faqja juaj e internetit ka shumë përmbajtje, por sepse ju ende po përdorni atë kërkim nativ të WordPress-it, i cili është qesharakisht joefikas.
Shumë pronarë të faqeve të internetit harrojnë një fakt: front-end... ?s= Parametrat e kërkimit janë të preferuarit e hakerave dhe skanerëve.
Nëse dikush vazhdon të bëjë kërkesa në ndërfaqen e kërkimit, baza juaj e të dhënave do të detyrohet të ekzekutojë mijëra pyetje pa kuptim.
Rezultati? Përdorimi i CPU-së u rrit ndjeshëm, përdorimi i memories u rrit ndjeshëm dhe faqja e internetit u bllokua.
Kjo nuk është një ekzagjerim, por një përvojë e vërtetë dhe e dhimbshme e faqeve të panumërta.
Pse të çaktivizoni kërkimin vendas në WordPress?
Funksioni i integruar i kërkimit në WordPress është në thelb një pyetje LIKE me tekst të plotë në bazën e të dhënave.
Kjo pyetje është jashtëzakonisht joefikase, veçanërisht kur numri i artikujve tejkalon 1; një kërkim i vetëm mund të zgjasë më shumë se 0.5 sekonda.
Nëse dikush përdor një program kërkimi në internet ose një skript sulmi për të dërguar dhjetëra kërkesa kërkimi në sekondë, baza juaj e të dhënave do të mbingarkohet menjëherë.
Sipas dokumentacionit zyrtar të WordPress, kërkimi vendas nuk ka mekanizma mbrojtës dhe është plotësisht i ekspozuar ndaj faqes së përparme. Kjo do të thotë që sulmuesit mund ta shfrytëzojnë këtë pikë hyrjeje pa u identifikuar fare.
Zgjidhje alternative: Lidhu me një motor kërkimi më të zgjuar
Shumë faqe interneti profesionale nuk mbështeten më në kërkimin vendas të WordPress.
Për shembull, qasja Kërkimi i Programimit në Google ose Algolia Shërbime të tilla kërkimi nga palë të treta jo vetëm që janë të shpejta, por ofrojnë edhe rezultate më të sakta.
Më e rëndësishmja, këto shërbime nuk do ta dëmtojnë bazën tuaj të të dhënave sepse të gjitha pyetjet kryhen nga jashtë.
Pra, nëse faqja juaj e internetitPozicionimiNëse është një faqe interneti me mjete, një faqe blogu apo edhe një faqe që mbështetet tashmë në kërkimin e jashtëm, nuk ka arsye për të vazhduar të ruhet funksioni i integruar i kërkimit të WordPress.
Çaktivizoni plotësisht zbatimin e kodit të kërkimit në front-end të WordPress-it
Mënyra më e drejtpërdrejtë është të përqendrohesh te tema. functions.php Shtoni kodin e mëposhtëm në skedar:
// 禁用 WordPress 前台搜索功能,防止被扫描拖垮数据库
function disable_wp_search( $query, $error = true ) {
if ( is_search() && !is_admin() ) {
$query->is_search = false;
$query->query_vars['s'] = false;
$query->query['s'] = false;
if ( $error == true ) {
// 直接返回 404 页面,不走任何数据库查询
$query->set_404();
status_header( 404 );
nocache_headers();
}
}
}
add_action( 'parse_query', 'disable_wp_search' );
add_filter( 'get_search_form', '__return_empty_string' );
Logjika e këtij kodi është shumë e thjeshtë:
- Sapo zbulohet një kërkesë kërkimi në plan të parë, pyetjet në bazën e të dhënave bllokohen menjëherë.
- Kthimi në një faqe 404 e bllokon plotësisht pikën e hyrjes.
- Në të njëjtën kohë, formulari i kërkimit u hoq për të parandaluar veprimet aksidentale të përdoruesit.
Avantazhi i kësaj metode është se edhe nëse një sulmues bën kërkesa të shumta... ?s=xxxNuk do të shkaktojë asnjë pyetje në bazën e të dhënave.
Një implementim më elegant: përdorimi i Fluent Snippets
Nëse nuk doni të modifikoni drejtpërdrejt skedarët e temës, mund të përdorni... Fragmente të rrjedhshme shtojcë.
Ky plugin ju lejon të shtoni fragmente kodi direkt në sfond dhe të shihni efektet dhe modifikimet. functions.php E njëjta gjë, por më e sigurt.
Pasi të aktivizohet, mund ta menaxhoni lehtësisht të gjithë kodin tuaj të personalizuar pa u shqetësuar se përditësimet e temës do ta mbivendosin atë.
Rezultatet aktuale të testit: Presioni në bazën e të dhënave ra ndjeshëm.
Në një konfigurim të CPU me 2 bërthama + 4 GB RAM Në VPS, kur kërkimi vendas bëri 50 kërkesa për sekondë, shfrytëzimi i CPU-së së bazës së të dhënave u rrit në 95%.
Pas çaktivizimit të kërkimit, e njëjta kërkesë ktheu direkt një gabim 404 dhe ngarkesa e bazës së të dhënave ishte pothuajse zero.
Kjo është arsyeja pse shumë ekspertë të sigurisë rekomandojnë fuqimisht çaktivizimin e menjëhershëm të kërkimit vendas të WordPress nëse nuk keni nevojë për të.
Studiuesit e sigurisë deklaruan shprehimisht në blogun zyrtar të Sucuri-t:
"Kërkimi nativ i WordPress është një nga pikat e hyrjes më të lehta për t'u shfrytëzuar; sulmuesit mund të krijojnë sulme mohimi të shërbimit duke bërë kërkesa të shpeshta kërkimi."
Kjo deklaratë është e mjaftueshme për të shpjeguar problemin.
Si përfundim: Siguria nuk është një zgjedhje, por një kurs i detyrueshëm.
Siguria e faqes së internetit nuk është vetëm një bonus, është çështje jete a vdekjeje.
Çaktivizimi i kërkimit vendas të WordPress mund të duket si një veprim i vogël, por mund ta shpëtojë bazën e të dhënave nga mbingarkesa.
Në këtë epokë të mbingarkesës me informacion, mençuria e vërtetë nuk qëndron në shtimin e veçorive, por në hedhjen poshtë me vendosmëri të atyre që janë joefikase ose të rrezikshme.
Mbani mend: Siguria nuk është një kosto, është një vlerë.
Nëse ende hezitoni, pyeteni veten këtë: A do të preferonit ta linit bazën e të dhënave tuaja të rrëzohej mes të qeshurave të sulmuesve, apo do të preferonit të merrnit kontrollin e situatës?
Blogu Hope Chen Weiliang ( https://www.chenweiliang.com/ Artikulli "Çaktivizimi i plotë i funksionit të kërkimit vendas në WordPress për të parandaluar skanimin e programeve keqdashëse që të tërheqin poshtë bazën e të dhënave", i ndarë këtu, mund t'ju jetë i dobishëm.
Mirë se vini të shpërndani lidhjen e këtij artikulli:https://www.chenweiliang.com/cwl-34192.html