如何扫描HTTP认证限制区域Acunetix支持通过登录序列记录器支持表单身份验证,您还可以扫描通过HTTP身份验证限制的网站或Web应用程序的区域。HTTP认证(有时称为基本身份验证)是一种在HTTP标准(RFC 1954)中正式定义的身份验证,涉及终用户的Web浏览器将Authorization(授权):Basic HTTP头中的用户凭据发送到服务器。当需要HTTP验证时,用户的浏览器将提示用户在允许访问受限区域之前输入正确的凭证集。这种类型的身份验证通常由服务器控制,与Form(表格)认证不同,Acricetix由登录序列记录器处理。为了扫描使用HTTP身份验证的网站,网站漏洞扫描工具,请导航到要启用HTTP身份验证的目标,然后导航到HTTP选项卡。从那里您可以启用HTTP身份验证,并指的定Acunetix遇到Web服务器的HTTP身份验证请求时使用的用户名和密码。 10.为所有登录和wp-admin启用HTTPS严格来说,HTTPS本身不是一个协议,但它是HTTP封装在TLS / SSL中。 TLS或SSL,通常被称为,为网站和Web应用程序提供正在传输的数据的加密和验证以验证主机的身份。HTTPS通常与购物车和网上银行是同义词,但实际上,只要用户将敏感信息传递到Web服务器,反之亦然。根据站点的流量,TLS / SSL可能会大大消耗服务器资源。因此,对于大多数网站,不需要使用HTTPS为整个网站提供服务。另一方面,WordPress的登录表单和管理区域可能是WordPress网站敏感的区域。因此强烈建议TLS / SSL不仅在这些领域得以实施,而且得到执行。WordPress提供了一种在wp-login和wp-admin页面上实施TLS / SSL的简单方法。这通过在您的站点的wp-config.php文件中定义两个常量来实现。注意 - 您必须已经在服务器上配置TLS / SSL并在网站正常工作之前将这些常量设置为true。为确保登录凭据在传输到Web服务器时被加密,请在wp-config.php中定义以下常量。define('FORCE_SSL_LOGIN',true);为确保使用WordPress管理面板时传输中的敏感数据(如会话cookie)被加密,请在wp-config.php中定义以下常量。>define('FORCE_SSL_ADMIN', true);11.限制直接访问插件和主题PHP文件允许直接访问PHP文件可能是危险的,原因有很多。一些插件和主题文件可以包含不被直接调用的PHP文件,因为该文件将被调用将在其他文件中定义的函数。这可能会导致PHP解释器显示可能导致信息泄露的错误或警告。限制直接访问PHP文件的另一个原因是为了防止攻击者在代码分解成较小的文件时绕过或避免安全措施(例如身份验证)(随后将被包含并与其他代码一起使用)一些插件和主题将代码分解成较小的文件,并将这些文件包含在较大的代码段中。攻击者有时可以直接调用一个较小的文件,并且可以避免诸如输入验证检查之类的各种安全措施。大多数时候,这是因为验证不会在其他文件中执行,而不是在所提到的较小的模块中执行。此外,如果在服务器上启用了register_globals指令(在PHP版本4.2.0及更高版本中,漏洞扫描工具,默认情况下禁用指令),可以直接访问PHP文件,攻击者可能会执行若干恶意行为,包括从GET / 请求定义PHP变量,并绕过各种保护机制。绝大多数插件和主题都不需要用户直接向PHP文件发出HTTP请求,但如果有异常,则可以将需要直接访问PHP文件的文件和目录列入白名单。以下规则将重定向到PHP文件的任何直接请求到您选择的页面(在下面的示例中,服务器将使用404页面和状态代码进行响应)。#限制从插件和主题目录访问PHP文件RewriteCond%{REQUEST_URI}!^ / wp-content / plugins / file / to / exclude ﹨ .phpRewriteCond%{REQUEST_URI}!^ / wp-content / plugins / directory / to / exclude /RewriteRule wp-content / plugins /(。* ﹨。php)$ - [R = 404,L]RewriteCond%{REQUEST_URI}!^ / wp-content / themes / file / to / exclude ﹨ .phpRewriteCond%{REQUEST_URI}!^ / wp-content / themes / directory / to / exclude /RewriteRule wp-content / themes /(。* ﹨。php)$ - [R = 404,漏洞扫描器,L]12.防止PHP文件执行由于WordPress网站需要允许用户上传新内容,因此WordPress的上传目录需要写入。 在这样的程度上,您的wp-content / uploads目录应被视为潜在的入口点。的大的潜在威胁是上传PHP文件。 WordPress不允许用户在其管理控制台中上传PHP文件,但是,插件或主题可能允许文件上传而不使用指的定的WordPress API来执行此操作。 这可能会导致恶意的PHP文件上传,从而在服务器上执行。减轻此潜在安全风险的的佳方法是拒绝Web服务器使用以下规则在wp-content / uploads目录中提供任何PHP文件。拒绝,拒绝全部拒绝</ Files></ Directory>13.保护您的调试日志在开发插件或主题之前,以及在部署WordPress站点期间,开发人员或系统管理员可能会启用调试日志来记录发生的任何PHP错误。WordPress使用在wp-config.php中定义的WP_DEBUG常量。该常量用于在WordPress中触发调试模式。该常量默认设置为false。开发人员和管理员也可以将WP_DEBUG_LOG和WP_DEBUG_DISPLAY伴随常量启用WP_DEBUG。 WP_DEBUG_LOG在wp-contents文件夹中创建一个日志文件,而WP_DEBUG_DISPLAY控制调试消息是否显示在页面的HTML页内。当主题,插件或网站正在开发中时,上述任何内容都将是有用的,漏洞扫描,但是如果在生产网站上启用,则可能会导致信息泄露 - 允许恶意用户查看错误和其他日志记录信息。在生产系统上应禁用WP_DEBUG常量,方法是从wp-config.php文件中删除常量,或将其设置为false,如下所示。define('WP_DEBUG',false); 漏洞扫描、哲想软件、网站漏洞扫描工具由哲想方案(北京)科技有限公司提供。哲想方案(北京)科技有限公司(www.cogitosoft.com)是北京 海淀区 ,软件开发的,多年来,公司贯彻执行科学管理、发展、诚实守信的方针,很大限度的满足客户需求。在哲想软件领导携全体员工热情欢迎各界人士垂询洽谈,共创哲想软件更加美好的未来。 产品:哲想软件供货总量:不限产品价格:议定包装规格:不限物流说明:货运及物流交货说明:按订单
