正文:
WordPress 网站毕竟是一个全功能的 cms 系统,有它所有的优点,但同时也很可能被攻击者利用,对网站造成不同程度的损害。就拿 WordPress 自带的搜索功能来说,使用起来非常方便,只要在网站中需要搜索的地方添加调用即可。但实际上 WordPress 自带的搜索功能并不好,因为会被利用,攻击者可以利用其自带的搜索功能进行恶意搜索攻击。
在本文中,我将谈谈我对 WordPress 网站白天被自身搜索利用的恶意攻击的解决方案。
恶意搜索攻击,其实就是通过既定的 URL 结构,不断向网站发起不良关键词搜索访问。比如 WordPress 的搜索 URL 结构是域名/?S=搜索词,所以恶意搜索的结果可能是:
短时间内的多次请求会增加服务器的负担。
更严重的是,它可能会顺便把访问过的地址推送给各大搜索引擎,加速这些恶意网址的收录。这样你的网站就会成为这些不法之徒传播不良信息的渠道,对网站排名非常不利,甚至可能被搜索引擎 k 直接打击。
说白了,这是一种黑帽 SEO 的搜迹手段。可以利用 WordPress 站内自带的搜索来优化一些长尾关键词,达到推广的目的。
那么如何应对这样的恶意搜索攻击呢?具体有以下几种方式:
1.禁止搜索引擎包含搜索结果页面地址。
禁止包含搜索结果页面。我们可以在网站根目录的 robots.txt 文件中添加以下规则:
Disallow: /?s=*
(注意:请检查您的 robots.txt 文件是否包含它。如果是,请跳过这一步)。
2.限制一定时间内的 IP 搜索次数。
使用插件Search Limiter & Blocker ,可以设置 WordPress 网站的自带搜索,限制某段时间内同一 IP 的搜索次数。
3.彻底关闭wordpress自带的搜索功能,改用第三方网站搜索。
这种方法可以说是只有在无奈的时候才会使用。第三方提供的搜索功能有很多:百度站内搜索(貌似入口已经关闭)、搜狗站内搜索、360 站内搜索等,但这个第三方搜索的尴尬点在于,搜索只提供已经包含在相应搜索引擎中的内容。当网站不在搜索引擎中时,什么也找不到…
4.增加搜索功能的人机安全验证。
这种验证类似于 googlebot 验证,区分是普通访客还是机器人访客。如果是普通访客,WordPress 搜索安全验证可以畅通无阻,正常使用;如果是恶意机器人,防火墙会自动拦截,不再消耗服务器资源。
实现逻辑就是防火墙层面的逻辑匹配,只要包含/?S=,将进行人机安全验证,验证通过则进行正常访问,验证不通过则直接拦截。
而且可以根据自己的需求进行调整,比如第一次搜索发布,第二次验证,验证可以做到不屏蔽不屏蔽 IP。
注:白天没用过,具体操作不详。如有需要请自行了解。
除了以上方法,宝塔面板专业版软件——Nginx防火墙还可以设置限制当前 IP 在单位时间内访问网站的次数,也可以起到防止其被恶意搜索的作用。方法很多,可以根据自己的需求来设置。
结语:
以上是本文针对白天 WordPress 网站被自身搜索利用的恶意攻击提供的一些解决方案。对搜索的恶意攻击应该是大部分 WordPress 站长都会遇到的问题。毕竟恶意搜索攻击会增加我们服务器的压力,甚至会影响网站在搜索引擎中的权重,所以还是需要注意的。
