1. 创建 .htpasswd 文件：
   可以使用 在线生成器 创建加密用户名和密码。
   将文件保存在非公开目录，例如：/home/username/.htpasswd。

2. 编辑你的 .htaccess 文件：
   打开 WordPress 根目录下的 .htaccess 文件，或在 wp-login.php 所在目录下新建一个，内容如下：

   <Files wp-login.php>
AuthType Basic
AuthName "受限访问"
AuthUserFile /完整路径/.htpasswd
Require valid-user
</Files>


   ⚠️ 请将 /完整路径/.htpasswd 替换为你真实的 .htpasswd 文件路径。

3. 保存并测试：
   当访问 wp-login.php 时，系统会先要求输入用户名和密码，验证通过后才显示登录界面。

The post 如何用.htaccess保护wordpress的登录界面？ appeared first on CNERIS.

如何禁止未登录用户访问 REST API？

默认情况下，WordPress 允许某些 REST API 的端点被公开访问。要限制这些访问，可以使用 rest_authentication_errors 过滤器。以下代码会阻止未登录用户的 REST API 请求，并返回自定义错误信息。

这段代码的作用

1. rest_authentication_errors 过滤器：此过滤器用于处理 REST API 的身份验证错误。
2. 检查已有错误：如果 $result 已包含错误，则直接返回。
3. 验证用户会话：如果用户未登录（!is_user_logged_in()），则返回一个 WP_Error，包含自定义消息和 HTTP 状态代码 401（未授权）。
4. 返回结果：如果不满足上述条件，则继续处理正常的请求。

结果

通过这段代码，未登录用户在访问 REST API 时将收到提示信息，要求登录后才能继续操作。这样可以有效保护 REST API 不被未经授权的用户访问。

The post 如何禁止未登录用户访问 REST API？ appeared first on CNERIS.

步骤：

1. 打开当前主题的 functions.php 文件，或者创建一个自定义插件来进行此调整。
2. 添加以下 PHP 代码以禁止未登录用户访问 REST API：

3. 保存更改，并验证未登录用户是否已无法访问 REST API。

The post 如何·通过 PHP 代码禁用 REST API appeared first on CNERIS.

1. 限制对敏感信息的访问

• 禁用通过 ?author=1 URL 查看用户信息的功能。
  将以下代码添加到 functions.php 文件：
  add_action('template_redirect', function() {
if (is_author()) {
wp_redirect(home_url());
exit;
}
});


2. 使用安全插件

安装 Wordfence 或 All In One WP Security 等安全插件来监控并阻止可疑活动。这些插件能够检测并防止用户枚举攻击。

3. 通过 .htaccess 阻止用户枚举

对于 Apache 服务器，在 .htaccess 文件中添加以下代码以阻止针对用户名的请求：

4. 强制执行强密码策略

鼓励所有用户使用强密码，并启用双因素身份验证 (2FA) 增加额外的安全层。

5. 监控日志记录可疑活动

定期检查网站日志，查找异常活动或多次尝试获取用户信息的行为。

6. 保持 WordPress 最新

确保 WordPress、插件和主题始终是最新版本，以修复已知的漏洞。

通过采取这些措施，您可以显著降低用户枚举的风险，保护您的 WordPress 网站安全。

The post 如何保护 WordPress 免受用户枚举攻击 appeared first on CNERIS.

1. 数据库问题：如果你的服务器依赖数据库（如 MySQL 或 MariaDB），缓慢或未优化的查询可能会延迟生成响应。确保表正确索引，并且没有运行时间过长的查询。
2. 服务器性能：如果服务器性能不佳（CPU 过载、内存不足或磁盘使用率过高），请求处理将变慢。使用 top 或 htop 等工具检查资源使用情况，以识别性能瓶颈。
3. Web 服务器配置：如果你的 Web 服务器（如 Apache 或 Nginx）未进行优化，可能会导致延迟。检查输出压缩（如 Gzip）、缓存使用以及并发连接参数配置可以帮助提高 TTFB。
4. 与外部网络的连接缓慢：如果你的服务器依赖外部服务（如 API、数据源）或数据中心距离用户较远，网络延迟可能会增加 TTFB。
5. 缓存：如果未正确使用缓存，每个请求都需要从头开始处理。设置适当的服务器缓存可以显著减少 TTFB。

The post 为什么我的服务器 ttfb 很高？ appeared first on CNERIS.

1. SSL Labs：
   • 使用**SSL Labs**提供的免费服务，进行全面的SSL证书分析，包括SSL/TLS协商。
   • 只需输入你的网站URL，它会生成一个详细报告，包含支持的SSL/TLS版本、加密配置等。
2. OpenSSL：
   • 在命令行中，你可以使用openssl来测试SSL/TLS协商。
   • 示例：
     openssl s_client -connect 你的网站.com:443


     这将显示SSL握手过程的详细信息，包括TLS版本和证书。

3. Nmap：
   • 使用Nmap的ssl-enum-ciphers脚本可以帮助验证SSL协商。
   • 示例：
     nmap --script ssl-enum-ciphers -p 443 你的网站.com

The post 如何测试你网站的SSL协商 appeared first on CNERIS.

1. 负载测试：使用工具如 Apache JMeter、Loader.io 或 k6 来模拟多个用户同时向您的网站发出请求。这将帮助您确定在性能下降之前，网站可以处理的最大请求数量。
2. 服务器资源监控：在进行负载测试时，监控服务器的CPU、内存和带宽使用情况，以确定瓶颈。
3. 优化Web服务器配置：调整Web服务器配置，优化并发连接的处理，例如设置最大并发连接数（例如在Apache或Nginx中）。
4. 测试结果：负载测试工具将生成详细的报告，显示您的服务器能够有效处理的最大请求数量。

The post 如何计算网站可以处理的请求数量？ appeared first on CNERIS.

TPM的主要功能:

1. 加密密钥的安全存储: TPM 允许生成并安全存储用于加密数据和认证用户或系统的私钥和公钥。
2. 加密密钥生成: 该模块可以直接在芯片内生成加密密钥，确保它们不会离开芯片。
3. 安全启动 (Secure Boot): TPM 验证启动软件是否未被篡改。如果检测到任何异常，将阻止系统启动。
4. 完整性测量: 在启动过程中，TPM 对系统关键组件（固件、内核）进行测量，确保其未被修改。
5. 防止未经授权访问: TPM 使用高级加密算法来防止未经授权的人员访问设备上存储的数据。

TPM的常见用途:

• 全盘加密: Windows 上的 BitLocker 等工具使用 TPM 对整个硬盘进行加密，确保只有授权用户才能访问数据。
• 设备认证: TPM 可以用于保护网络和系统中的设备认证，提供额外的安全层。
• 恶意软件防护: 帮助检测和防止在系统启动过程中执行恶意软件。

The post 可信平台模块 (TPM) appeared first on CNERIS.

对技术产业的影响：

1. 网络安全：量子计算有潜力破解目前使用的许多加密算法。这将需要一种新的加密形式，即量子加密，它可以提供当前技术无法实现的安全级别。
2. 问题优化：量子算法在解决优化问题方面提供了显著的速度改进，这对物流、药物研究和人工智能等行业至关重要。
3. 材料模拟：量子计算机可以高精度模拟分子间的相互作用，这可能会革新能源、材料和医药等领域，使得传统计算无法实现的发现成为可能。

The post 什么是量子计算，它将如何影响技术行业？ appeared first on CNERIS.

1. 访问安全设置：登录您的帐户并导航至设置或安全部分。
2. 选择2FA选项：寻找标有“双因素认证”、“两步验证”或类似的选项并选择它。
3. 选择2FA方法：通常可以选择通过短信接收代码、使用Google Authenticator或Authy等认证应用程序或使用物理安全设备。
4. 设置所选方法：
   • 短信：输入您的电话号码并确认您收到的代码。
   • 认证应用程序：使用认证应用程序扫描提供的QR代码并存储它生成的验证代码。
   • 物理设备：连接您的设备并按照指南将其链接到您的帐户。
5. 保存备份代码：设置2FA时，您将获得备份代码。将它们存储在安全的地方；如果您失去对2FA方法的访问，它们将允许您访问您的帐户。
6. 确认设置：完成过程并通过检查您的安全设置确保2FA处于活动状态。

The post 设置双因素认证 (2FA) appeared first on CNERIS.