WordPress安装后,会在根目录同时安装MySqlAdmin,如果不做任何配置,可以从公网访问此页面,存在一定的安全隐患。如果不需要使用此工具,删了了事。如果想保留此工具以备不时之需,就需要做一下配置。
找到WordPress所属的Apache服务器的根文件夹,在conf文件夹下找到httpd.conf,直接修改或者用ftp工具下载到本地修改,只需要加上:
<Directory "/mnt/apachedoc/default/phpmyadmin">
Deny f...
HTTP通信安全-身份验证
无论是使用Web Service、RESTful或者其它的基于Http协议的交互方案,不可避免的都需要解决通信方面的安全问题,常见的无非就是:
1. 明文传输密码。
2. 重放攻击(相关概念参见《HTTP安全-重放攻击》)。
3. 请求来源非法。
本文通过SHA1算法加/解密相关数据,为客户端和服务端的通信提供一种有效可行的解决办法。以获取用户数据为例,我们希望通过地址http://xxx.com/user/get?id=1获得用户A的相关信息。如...
[转载]HTTP安全-重放攻击
大概了解了一下重放攻击的概念,其实做过的不少应用中自然而然的已经考虑过这种情况,但是对于其书面的概念仍然模糊,看到一篇文章(来自于http://cnodejs.org/topic/557c354d16839d2d539362b6),在此记录一下。其实我更喜欢这篇文章里面的例子,能够贴合实际,简单易懂,概念性的东西了解一下就好。
重放攻击的概念
重放攻击(Replay Attacks)又称重播攻击、回放攻击或新鲜性攻击(Freshness Attacks),...
站点安全
昨天登录网站,发现自己使用的账户被锁定了,原先用的是名为"Limit Login Attempts"的插件,它的作用就是限制尝试登录的次数,但是不分敌我,如果登录失败的次数超过限制,直接把账号给锁定了,只能登录服务器把该插件的物理文件改名禁用此插件,然后才能再登录上来,安全是安全了,但是挺不方便。
今天开始使用另外一款插件,目前来看该插件会自动记录超过次数的IP,并将此IP放入至黑名单列表内,禁止此IP...