apache htaccess – 馬修 IT https://blog.ocam.live 生活中所接觸各種電腦及網路問題與懷舊模擬器的專業問題解決與新資訊介紹的網站 Fri, 26 Dec 2025 07:56:02 +0000 zh-TW hourly 1 https://wordpress.org/?v=7.0 https://blog.ocam.live/wp-content/uploads/2025/03/cropped-logo-1-300x300.png apache htaccess – 馬修 IT https://blog.ocam.live 32 32 為什麼 Bingbot 一直用隨機搜尋字詞來灌爆 WordPress 網站 https://blog.ocam.live/archives/4729 Fri, 26 Dec 2025 07:20:08 +0000 https://blog.ocam.live/?p=4729 近幾個月來如果有定時分析網頁記錄的或有時發生 CPU 飆高。你可能正面臨 BingBot 用隨機字串搜尋爬你的網站資料。一般 wordpress 的專家都知道 wordpress 只有在使用靜態頁快取時才會反應較快且吃的 CPU 資源也較低。但如果發生隨機字串搜尋時就會直接吃 PHP + MYSQL 資源,此時就是網站發生反應慢及 CPU 飆高。較慘狀況是網站直接當機或被雲端廠商直接鎖網站。如附圖重覆網址一直搜尋。

bing bot spam

解決方式

一般會以 robots.txt 來解備,但這緩不濟急,你得讓 Bingbot 重新讀取後才有可能生效。但問題是現在正面臨該問題。且也不知道新的 robots.txt 何時會生效。這邊我建議的是用 .htaccess 解決。直接擋 User Agent 是 bingbot 且搜尋字串有特定字出現。如附圖

40.77.167.17 - - [26/Dec/2025:15:14:15 +0800] "GET /search?source=keyword HTTP/1.1" 301 4246 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) Chrome/116.0.1938.76 Safari/537.36"
40.77.167.1 - - [26/Dec/2025:15:14:20 +0800] "GET /search?source=keyword HTTP/1.1" 301 4246 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) Chrome/116.0.1938.76 Safari/537.36"
40.77.167.17 - - [26/Dec/2025:15:14:38 +0800] "GET /search?source=keyword HTTP/1.1" 301 4246 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) Chrome/116.0.1938.76 Safari/537.36"
40.77.167.17 - - [26/Dec/2025:15:14:39 +0800] "GET /search?source=keyword HTTP/1.1" 301 4246 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) Chrome/116.0.1938.76 Safari/537.36"
40.77.167.17 - - [26/Dec/2025:15:14:40 +0800] "GET /search?source=keyword HTTP/1.1" 301 584 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) Chrome/116.0.1938.76 Safari/537.36"
40.77.167.17 - - [26/Dec/2025:15:14:41 +0800] "GET /search?source=keyword HTTP/1.1" 301 584 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) Chrome/116.0.1938.76 Safari/537.36"

在 .htaccess 加上如下程式碼,

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{QUERY_STRING} (^|&)source=keyword(&|$) [NC]
RewriteCond %{HTTP_USER_AGENT} bingbot [NC]
RewriteRule ^ /? [R=301,L]
</IfModule>

注意事項

每個 URL 擋的規則都不一樣,得分析網頁記錄上的規則性。看不沒有同樣的規則,再利用同樣的規則寫 .htaccess 的條件。有用 chatgtp 或 gemini 的也可請 AI 寫,方便很多。

其它網上討論的相關問題 我自已的網站是發生明明我的是資訊網站但 BingBot 會搜健康或營養的關鍵字

]]> 為 WordPress 增加安全防護 – 設定 Security Headers https://blog.ocam.live/archives/4714 Fri, 19 Dec 2025 09:06:46 +0000 https://blog.ocam.live/?p=4714 WordPress Security Headers 是 由 Web Server 回傳給瀏覽器的一組 HTTP 標頭
用來「限制瀏覽器能做什麼、不能做什麼」。它不是修漏洞,而是降低漏洞被利用的成功率跟增加攻破網站的困難度

一、為什麼 WordPress「一定要設」Security Headers?

WordPress 生態=高風險目標

  • 外掛多、主題多
  • 第三方 JS 多(廣告、追蹤、GA、FB)
  • 外掛品質參差不齊

就算你自己寫得很乾淨,
外掛一個 XSS 漏洞就全站陪葬

二、設定 Security Headers 的實際好處

1. 防止 XSS(最重要)

Content-Security-Policy

沒設 CSP

  • 任何 inline script 都能跑
  • 外掛被插 <script>alert(1)</script> 就 GG

有設 CSP

  • 只允許特定來源 JS
  • inline script 預設不能跑

👉 XSS 成功率直接下降 80% 以上

2. 防止 Clickjacking(iframe 釣魚)

X-Frame-Options: SAMEORIGIN

防止:

  • 網站被嵌進別人頁面
  • 用透明按鈕誘導你點擊(後台操作)

👉 對 WordPress 後台特別重要

3. 防止瀏覽器亂猜檔案類型

X-Content-Type-Options: nosniff

防止:

  • .jpg 被當成 JS 執行
  • 上傳檔案被惡意利用

👉 對有上傳功能的站(媒體、會員)很重要

4. 強制 HTTPS(SEO + 安全)

Strict-Transport-Security (HSTS)

效果:

  • 瀏覽器永遠只走 HTTPS
  • 防中間人攻擊
  • Google 加分項目

👉 Cloudflare + WordPress 必設

5. 限制 Referer 洩漏資料

Referrer-Policy

避免:

  • URL 中的 token、參數被送到第三方
  • 追蹤、外洩敏感資訊

6. 提升 SEO 與信任度(間接)

  • Lighthouse Security 分數↑
  • Google PageSpeed 建議項目
  • 減少惡意 JS 被插入 → 不被標示為「此網站可能有害」
Apache htaccess

三、htaccess 設定 Security Headers

在 .htaccess 增加下方程式。

<IfModule mod_headers.c>
    ##########################################
    # HTTPS / HSTS 強制安全連線
    ##########################################
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

    ##########################################
    #  X-Frame-Options (防止 Clickjacking)
    ##########################################
    Header always set X-Frame-Options "SAMEORIGIN"

    ##########################################
    # X-Content-Type-Options (防止 MIME 偽裝)
    ##########################################
    Header always set X-Content-Type-Options "nosniff"

    ##########################################
    # Referrer Policy (保護隱私)
    ##########################################
    Header always set Referrer-Policy "strict-origin-when-cross-origin"

    ##########################################
    #  X-XSS-Protection (舊版瀏覽器 XSS 防護)
    ##########################################
    Header always set X-XSS-Protection "1; mode=block"


</IfModule>

<IfModule mod_headers.c>
Header always set Content-Security-Policy "default-src 'self' https:; img-src 'self' data: https:; media-src 'self' https:; script-src 'self' 'unsafe-inline' 'unsafe-eval' https:; style-src 'self' 'unsafe-inline' https:; font-src 'self' data: https:; connect-src 'self' https:;"
</IfModule>


<IfModule mod_headers.c>
    Header always set Permissions-Policy "geolocation=(), camera=(), microphone=(), payment=(), usb=(), fullscreen=(self), autoplay=(self)"
</IfModule>

之後至 https://securityheaders.com/ 測試一下。分數應該是 A 。要得到 A+ 得看網站所使用的外掛跟連接分析後調整 Content-Security-Policy 這個 Header 。不然設太嚴可能網站前後台會有問題。

]]> 用 ChatGPT 寫 htaccess https://blog.ocam.live/archives/3894 Tue, 06 May 2025 00:37:00 +0000 https://blog.ocam.live/?p=3894 bingbot 一直搜尋 wordpress 搜尋頁問題

由於 bingbot 不知為何一直搜尋 wordpress 網站的 search 頁。造成了該主機 cpu 升高的問題。其每天約 1 萬 5000 餘次。不代參數只用 GET 。個人估計是 bingbot 的問題。已經有點造成困擾所以請 ChatGPT 代寫了一段 htaccess 的程式碼來暫時解決問題。

bingbot search same page problem

ChatGPT 提示詞

我這邊用的是繁中的提示沒有其它多餘的文字。現階段的 ChatGPT 已可了解大部份的繁體中文語法。下方為實際的提示詞

用 htaccess 的寫法阻擋 user agent 為 bingbot 且使用 get protocol 且抓的 url 為 search 且 查詢字串為空 。

ChatGPT 回應

<IfModule mod_rewrite.c>
RewriteEngine On

# 條件 1:User-Agent 包含 "bingbot"
RewriteCond %{HTTP_USER_AGENT} bingbot [NC]

# 條件 2:使用 GET 方法
RewriteCond %{REQUEST_METHOD} GET

# 條件 3:URL 路徑中包含 "search"
RewriteCond %{REQUEST_URI} search [NC]

# 條件 4:沒有 query string(即沒有參數)
RewriteCond %{QUERY_STRING} ^$

# 動作:跳轉到首頁(可用 302 測試,確認無誤後改為 301)
RewriteRule ^.*$ / [R=302,L]
</IfModule>

把上方的程式碼貼到 htaccess 的文件最上方即可

結果

由於 bingbot 的連線需求在 apache 這邊已被擋掉轉成 302 的回應代碼。故不會再由 php-fpm 去執行程式。故 php-fpm 的行程跟主機 cpu 大幅下降。等行 bingbot 回復後再把新加的程式刪掉就可回到之前未設定的狀態。

延伸閱讀

cloudflare cache settings
減少 AI 爬蟲對 WordPress 的影響建議增加 Cloudflare 快取設定
 SEO - digital mulch
Google’s John Mueller 說:如果文章內容只是為了 SEO 而存在而沒有真正幫助讀者,那它就像「數位垃圾」一樣,終究會被淘汰
 ai_bot_top
AI 爬蟲對 WordPress 的影響及如何簡單快速阻擋 AI 爬蟲。
]]> 如何簡單用 apache 的 htaccess 來防止非特定 ip 安裝主題跟外掛跟防止登入 https://blog.ocam.live/archives/3863 Sat, 03 May 2025 01:22:00 +0000 https://blog.ocam.live/?p=3863 Apache htaccess 的主要用途

htaccess 是 Apache 網頁伺服器的一個設定檔,它的主要用途是針對單一目錄(及其子目錄)或檔案進行配置調整,而不需更改主伺服器設定檔(如 httpd.conf)。這讓網站管理者可以靈活地控制網站的行為。當然也包含了誰或哪可存取網站或檔案。

分析 WordPress 的主要漏洞來源

漏洞來源風險等級解決方式
外掛漏洞非常高選擇可信外掛並定期更新
主題漏洞使用官方/付費主題
核心未更新啟用自動更新
弱密碼使用強密碼與二步驗證
權限錯誤中高設定正確權限
環境漏洞更新 PHP/MySQL 並安全設置
第三方服務中低評估並審查使用的服務

個人實務經驗觀查漏洞來源

外掛漏洞,主題漏洞跟弱密碼登入是其中最常被使用的方式。由於機器人跟漏洞自動找尋程式當道。當一但機器人找到後最常用的就是利用上傳功能上傳網頁的 DB 跟檔案總管後台。當然還有其它上傳的方式。這裡先用簡單的方式估計也能擋掉部份。開啟網站根目錄的 .htaccess 增加下列程式碼即可。

apache htaccess logo
  • 限制 WordPress 登入(wp-login.php): 這樣可以確保只有特定的 IP 能夠訪問 wp-login.php,從而避免非授權登入。
<Files wp-login.php>
    Order Deny,Allow
    Deny from all
    Allow from YOUR_IP_ADDRESS
</Files>
  • 防止安裝外掛和主題的 HTTP 請求: 可以進一步通過阻止對特定 WordPress 管理頁面的 HTTP 請求來防止外掛和主題的安裝或更新。
<FilesMatch "(plugin-install\.php|theme-install\.php)">
    Order Deny,Allow
    Deny from all
    Allow from YOUR_IP_ADDRESS
</FilesMatch>

這兩段程式就是一般很簡單的防護程式。雖然光靠這兩段小程式是無法完整阻擋所有的網路上的機器人的測試。但我的實務上的觀察已經可擋掉不少的惡意連線。

延伸閱讀

MySQL logo
有效率的學習 MySQL
 如何在 Blocksy Free 的版本使用自定字型
如何在 Blocksy Free 的版本使用自定字型
 super mario 64 pc port
Batocera 新增超級瑪利歐64原生 Linux 版
]]>