这里简单介绍几个宝塔环境下,WordPress必要的一些安全设置。
其实Wordpress算是比较安全了,但是被攻击仍然是个非常高频发生的事,其实大多数时候,都是通过POST或者wp-content进去的。再个就是敞开的wp-admin文件夹以及wp-login.php入口。这几个都封堵住了,问题可以说少了90%,再加上本文下面描述的其他几个问题,基本可以在已经比较安全的基础上,进一步防御绝大多数潜在的攻击。文章源自原紫番博客-https://www.yuanzifan.com/55544.html
宝塔自带的防火墙固然有用,但是某些情况下,针对wp-content的PHP注入攻击,还是有一些风险。文章源自原紫番博客-https://www.yuanzifan.com/55544.html
而且更重要的是,大多数人并没有买这个付费的防火墙。文章源自原紫番博客-https://www.yuanzifan.com/55544.html
文章源自原紫番博客-https://www.yuanzifan.com/55544.html
后台加固几种选择,比如用WPS插件彻底改变后台入口:文章源自原紫番博客-https://www.yuanzifan.com/55544.html
一般市面上都是修改后台登陆地址。那样子需要修改代码。这里介绍一个更简单的一个方式(目录保护):文章源自原紫番博客-https://www.yuanzifan.com/55544.html
文章源自原紫番博客-https://www.yuanzifan.com/55544.html
因为宝塔这个没有默认给一个URI防御,所以这里需要改一下:文章源自原紫番博客-https://www.yuanzifan.com/55544.html
文章源自原紫番博客-https://www.yuanzifan.com/55544.html
找到这个目录的文件:
文章源自原紫番博客-https://www.yuanzifan.com/55544.html
只需要删除/*,如下:
这种情况下,是相当于给后台加了双重保护,访问后台效果如下:
下一步,网站根目录以及插件和主题的防御:
这里也是通过一个简单的策略来防御很多问题,首先分析一下目录结构:
wp-admin 后台 (设置目录防御)
wp-content 内容
wp-includes 引用的类
设置网站目录为root 755 (当前网站文件目录)
4.2 设置图片目录为www
图片目录为/www/wwwroot/word.com/wp-content/uploads
设置www权限
设置访问后台需要二次验证:
设置图片目录不允许执行PHP(这步骤很重要),大多数问题都是这里出的
这里只能自己改一下Nginx的配置文件了
参考文章如下:https://www.bt.cn/bbs/thread-52183-1-1.html
代码如下
location ~ ^/wp-content/uploads/.*\.php{
deny all;
}
评论