宝塔环境下,几个小设置来增强你WordPress站点的安全性

技术流评论3,297阅读模式

这里简单介绍几个宝塔环境下,WordPress必要的一些安全设置。

其实Wordpress算是比较安全了,但是被攻击仍然是个非常高频发生的事,其实大多数时候,都是通过POST或者wp-content进去的。再个就是敞开的wp-admin文件夹以及wp-login.php入口。这几个都封堵住了,问题可以说少了90%,再加上本文下面描述的其他几个问题,基本可以在已经比较安全的基础上,进一步防御绝大多数潜在的攻击。文章源自原紫番博客-https://www.yuanzifan.com/55544.html

宝塔自带的防火墙固然有用,但是某些情况下,针对wp-content的PHP注入攻击,还是有一些风险。文章源自原紫番博客-https://www.yuanzifan.com/55544.html

而且更重要的是,大多数人并没有买这个付费的防火墙。文章源自原紫番博客-https://www.yuanzifan.com/55544.html

文章源自原紫番博客-https://www.yuanzifan.com/55544.html

后台加固几种选择,比如用WPS插件彻底改变后台入口:文章源自原紫番博客-https://www.yuanzifan.com/55544.html

一般市面上都是修改后台登陆地址。那样子需要修改代码。这里介绍一个更简单的一个方式(目录保护):文章源自原紫番博客-https://www.yuanzifan.com/55544.html

文章源自原紫番博客-https://www.yuanzifan.com/55544.html

因为宝塔这个没有默认给一个URI防御,所以这里需要改一下:文章源自原紫番博客-https://www.yuanzifan.com/55544.html

文章源自原紫番博客-https://www.yuanzifan.com/55544.html

找到这个目录的文件: 文章源自原紫番博客-https://www.yuanzifan.com/55544.html

只需要删除/*,如下:

这种情况下,是相当于给后台加了双重保护,访问后台效果如下:

下一步,网站根目录以及插件和主题的防御:

这里也是通过一个简单的策略来防御很多问题,首先分析一下目录结构:

wp-admin  后台   (设置目录防御)

wp-content  内容

wp-includes  引用的类

设置网站目录为root 755 (当前网站文件目录)

4.2 设置图片目录为www

图片目录为/www/wwwroot/word.com/wp-content/uploads

设置www权限

设置访问后台需要二次验证:

设置图片目录不允许执行PHP(这步骤很重要),大多数问题都是这里出的

这里只能自己改一下Nginx的配置文件了

参考文章如下:https://www.bt.cn/bbs/thread-52183-1-1.html

代码如下

  location ~ ^/wp-content/uploads/.*\.php{
      deny all;
    }

 

站长微信
扫码添加(注明来意)
weinxin
Yuanzifan99
原梓番博客公众号
博客内容精选
weinxin
原梓番博客
 

发表评论

匿名网友
:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:
确定

拖动滑块以完成验证