NO.1要求整改

看到这篇文章的同学，好好考虑微信公众号之类的平台吧，省心

自己搭建博客，不仅会被攻击，要续费，能独立部署维护，还要及时整改，避免安全漏洞等

我指的是已备案的网站

NO.2安全插件

推荐几个插件

WordfenceDisable REST API

一个是专业的安全插件，一个是去除未登录API的请求权限插件

按照的提示设置就行

NO.3中危漏洞

被扫描了，查到一个网站漏洞，具体不说了、

大致是一个用户信息枚举的API，WordPress的wp/v2/users

使用PHP禁用列出所有用户的路由

add_filter( 'rest_endpoints', function( $endpoints ){if ( isset( $endpoints['/wp/v2/users'] ) ) {unset( $endpoints['/wp/v2/users'] );    }    return $endpoints;});

可以写在自己的插件里（参考本文同期发布的WordPress插件设置）

错误URL

[]=/wp/v2/users

为了解决这个特点的问题

建议在Nginx配置中设置两个内容

一.把双杠换为单杠符号

https://xxx.com//->https://xxx.com/

Nginx代码

# 把双杠换为单杠merge_slashes off;rewrite (.*)//(.*) $1/$2 permanent;

二.指定参数正则匹配返回404

在Nginx location / 中添加

location /{    # 设置指定参数返回404    if ($query_string ~ "rest_route\[\]=(.*)") {    return 404;    }}

NO.4Tips

顺便提一下，无论是百度站长，搜狗站长，360站长

都需要在收录的时候提交备案号，身份证正反扫描件，手机号，微信号，邮箱等等的

网站也遇到过

网站被镜像复制（为了投简历加分或者其他爬虫原因？未知）DDoS 攻击（为知原因）域名厂商默默把域名解绑域名释放（被我发现，工单投诉找了回来，无赔偿，因为是小域名商）云服务器挂掉数据全无（就赔了两个月优惠券）备案服务器xx云续期（不续期，备案取消）网站漏洞扫描整改（结果待定）各种插件升级过期，各种不兼容各种奇奇怪怪的配置错误

自己搭建，就当做内容备份

END