嘘~ 正在从服务器偷取页面 . . .

Valine 评论系统紧急防御


Valine 评论系统紧急防御

上个月我的博客的评论valine,被恶意攻击,无限写入。

之前大家都说不安全,我没怎么放心上。毕竟在网络上还有什么是安全的。

幸好,我的安装了valine-admin ,所以即使是恶意评论,也会立即有邮件提醒。

好吧,我忘记了我当时在研究什么。只是手机邮件提醒不停的弹出,我想谁那么不要命的给我评论呢?

一看邮箱,再打开评论一看,果然是垃圾评论,而且看留的邮件还是用程序进行的恶意评论,本以为一会就好。

我就登录leancloud 删除评论,不过我删了两次之后发现,表数据越来越大。

我更加确认了,这是在用程序调用我的评论API。

好吧,我想要不要关闭valine, 这样不就是退让和妥协吗? 而且后续还是要打开的,因为我懒得去折腾其他的评论系统了。

于是我快速找到leancloud 后台的相关设置,关闭数据存储功能,然后关闭comment 表的写入权限。 世界终于安静了。

接着批量删除数据,慢慢等吧。

是啊,尽量这个valine 不安全,但是不想再折腾了。

还好这次的攻击只是恶意写入垃圾数据,我想这人实在无聊。我并没有得罪谁啊~ 不过 matery 主题的另一个群里的村姑也遭遇了相同的攻击。那天我看到她的评论系统不能用了,

不过无所谓了,损人不利己的事浪费时间。

为什么现在才有这篇文章呢?

因为之前去学习别的了。一时没有想起来。

那么如果要防止valine被恶意写入,请采取以下操作。

1、确保valine评论有邮件提醒功能。

当遭遇恶意刷评时,第一时间知晓。至于如何安装,请参考:Valine-Admin踩坑记录

2、在邮件知晓恶意刷评后及时关闭写入权限

登录leancloud后台,

(1)在 “存储” —— “结构化数据” ——— “Comment” ——— “权限” —— Class 访问权限 点修改 ——— 将 “ add_fields “和 “ create “ 修改成登录用户。

(2)在设置 —— 安全中心 ——— 关闭数据存储。

3、过一段时间再打开。

你可以隔几天几周都行。



版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Small-Rose / 张小菜 !
评论
  目录