Tag-Archive for » wordpress «

[solved]Lightbox not working,don’t know why

updated 06/22/2018

Problem solved as it seem to  because of  i didn’t check the box in attachment  display setting”link to media file”, the last post was also fixed.

It figured out that the Lightbox plugin was not working when i posted the article yesterday.

Today i made a change  for  a more recently  updated plugin called Simple Lightbox ,no difference at all .Then i deactivated all plugin and replaced the theme for the official one .Nothing happened.

The latest time when i remember it working was months before ,after i posted the article in Shanghai.After then i almost made no change,except for normal plugin & wordpress update.It’s hard to fix it for me as i merely know nothing about php language…

Category: Blog  Tags: , ,  Leave a Comment

xmlrpc攻击的防止

早上醒来发现网站DOWN了,ssl连进来发现apache的CPU占用100%,重启了apache也不管用,登到aws重启实例也是一样.一开启apache,CPU就很快耗尽.

一开始怀疑apache出问题了,先改了连接数限制到3,仍然是同样的问题.而且看aws的metrics从凌晨开始就突然有大量入站数据,可能网站被攻击.只能看日志了.

检查/etc/httpd/logs/access.log,从昨天开始就是大量的

51.15.49.10 - - [28/Feb/2017:02:55:13 +0000] "POST /xmlrpc.php HTTP/1.0" 200 394                                                                                         "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

Google一下有人在利用wordpress的xmlrpc 的pingback的漏洞穷举网站密码(这个漏洞是不是还存在暂时不清楚),密码应该穷举不出来,但是ec2的微型服务器可是经不起这个DDOS一样的的访问.

暂时的办法,iptables禁止了这个IP,以及禁用了xmlrpc的pingback.

sudo iptables -I INPUT -s 51.15.49.10 -j DROP

后续有时间再处理,浪费了早上的上班时间.

05/13/2018 updated

最近偶尔还有IP攻击,虽然已经填了漏洞,还是一会就直接报告服务器DOWN了,要么利用mod_evasive自动封禁,要么禁止对文件的访问来减少服务器负载。

暂时是在apache配置文件里增加文件禁止

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

但是实际发现apache不认这段语句,因为网上找到的是2.2版本的命令,2.4版本后改格式了。。

2.2 configuration:
Order deny,allow
Deny from all
2.4 configuration:
Require all denied

所以在/etc/httpd/conf.d/新建xmlrpc.conf,内容为

<Files xmlrpc.php>
Require all denied
</Files>

结束

 

 

Category: Personal  Tags: , ,  Leave a Comment

Postie Filter修改以适合界面

此番对filterPostie.php作了些许修改.
Postie每次在标题后面加了个(via postie),虽然并不算过分的东西,还是被我过分地去除了,不过应该也是作者允许的修改范围了.
然后去除了文章开头那个不怎么合时宜的Bookmark this category,每一次都指向uncategorized.算了,还是去掉了.
如此基本上与一般发布文章无异了.
并且经过测试利用Outlook发送HTML格式文本即使在加入图片时也未必会有不必要的字符,仅是不能使用Word作为编辑器,否则会加入一堆格式命令破坏页面.


Jun 10 2010 更新Postie到1.4 也不用再修改Filter

尝试利用邮件来发布日志了 (via postie)

占用同学空间的日子终于结束了.
没办法,只能转到在Godaddy的免费空间来,不过免费的午餐真是比较难吃的的.
Godaddy的免费广告带来了许多许多麻烦.
首先是Wordpress的Dashboard后台混乱,然后是wigets都不能编辑,然后发现日志的编辑也同样如此.
一切都是因为Godaddy的广告嵌入过分的JavaScript使得Wordpress的JavaScript完全没法正常工作…….
然而没有办法.
现在也懒得来折腾了,来到上海找工作,一切太困难,身上也没有几块钱了,后事尚未可知,暂时如此罢.

Category: Personal  Tags:  Leave a Comment