立即注册 找回密码

QQ登录

只需一步,快速开始

查看: 7102|回复: 0

[Wordpress 通用教程] 增强WordPress安全性的10个Nginx规则的介绍

[复制链接]
发表于 2020-1-16 01:20:22 | 显示全部楼层 |阅读模式
道勤网-数据www.daoqin.net

亲注册登录道勤网-可以查看更多帖子内容哦!(包涵精彩图片、文字详情等)请您及时注册登录-www.daoqin.net

您需要 登录 才可以下载或查看,没有账号?立即注册

x
wordpress 是最受欢迎的建站程序,到目前为止,它拥有超过30%的网络市场份额,这也导致了 WordPress 经常会成为安全威胁的目标。因此,对于我们这些 WordPress 网站所有者来说,最好采取一些措施来加强网站的安全性。
WordPress 可以运行在 Apache 或 Nginx 环境中,在《15个有用的WordPress .htaccess 代码片段》中,我们分享了一些Apache下的安全规则,今天我们将分享一些增强WordPress安全性的Nginx规则。
1.限制访问XMLRPC
WordPress中的XMLRPC端点(根目录下的xmlrpc.php文件)用于允许外部应用程序与WordPress数据交互。例如,它可以允许添加、创建或删除文章。但是,XMLRPC也是一种常见的攻击媒介,攻击者可以在未经授权的情况下执行这些操作。所以最好允许从您信任的授权IP请求XMLRPC,如下所示:
  1. location ~* /xmlrpc.php$ {
  2.     allow 172.0.1.1;
  3.     deny all;
  4. }
复制代码
添加上述内容后,应该在浏览器中访问 xmlrpc.php 时会看到403错误响应代码。
2.限制请求类型
大多数情况下,您的网站可能只执行两种类型的请求:
  • GET - 从你的网站上检索数据
  • POST - 将数据提交到你的网站
所以,只允许我们的网站执行这两种请求类型,也是增强安全性的做法。
  1. if ($request_method !~ ^(GET|POST)$ ) {
  2.     return 444;
  3. }
复制代码
3.禁止直接访问PHP文件
在神不知鬼不觉的情况下,黑客可能会将PHP文件上传到你的服务器中,然后通过访问该恶意文件执行某些操作,即可在你的网站上创建后门。所有我们应该禁止直接访问任何php文件:
  1. location ~* /(?:uploads|files|wp-content|wp-includes|akismet)/.*.php$ {
  2.     deny all;
  3.     access_log off;
  4.     log_not_found off;
  5. }
复制代码
4.禁止访问某些敏感文件
和PHP文件相似,以点开头的文件,比如 .htaccess、.user.ini以及.git可能包含敏感信息。为了更安全,最好禁用对这些文件的直接访问。
  1. location ~ /\.(svn|git)/* {
  2.     deny all;
  3.     access_log off;
  4.     log_not_found off;
  5. }
  6. location ~ /\.ht {
  7.     deny all;
  8.     access_log off;
  9.     log_not_found off;
  10. }
  11. location ~ /\.user.ini {
  12.     deny all;
  13.     access_log off;
  14.     log_not_found off;
  15. }
复制代码
5.隐藏Nginx和PHP版本
最好不要对外公开Nginx以及PHP版本,如果特定的Ningx或PHP版本暴露出漏洞,攻击者又发现你的服务器上的存在对应的漏洞版本,那可能就很危险了。以下规则可以隐藏Nginx和PHP版本:
  1. #隐藏 nginx 版本.
  2. server_tokens off;

  3. #隐藏 PHP 版本
  4. fastcgi_hide_header X-Powered-By;
  5. proxy_hide_header X-Powered-By;
复制代码
6.安全标头
安全标头( header )通过指示浏览器行为提供额外的安全层。例如,X-Frame-Options,可以防止你的网站被嵌入到iframe框架中进行加载。而Strict-Transport-Security会让浏览器采用HTTPS方式加载站点。
  1. add_header X-Frame-Options SAMEORIGIN;
  2. add_header Strict-Transport-Security "max-age=31536000";
  3. add_header X-Content-Type-Options nosniff;
  4. add_header X-XSS-Protection "1; mode=block";
复制代码
7.阻止访问子目录
如果你的网站在子目录上运行,例如/blog,则最好允许访问此子目录。这意味着,其他类似子目录的访问结构,例如, /82jdkj/?.php 将是攻击者经常试图访问的目标,所以我们就应该将 /blog 以外的子目录限制访问。
  1. location ~ ^/(?!(blog)/?) {
  2.     deny all;
  3.     access_log off;
  4.     log_not_found off;
  5. }
复制代码
8.减少垃圾评论
垃圾评论可能不会破坏你的网站,但它会使你的数据库中写入这些垃圾内容,从而作为广告推广。要减少垃圾评论内容,您可以将以下规则添加到Nginx配置以及像Akismet这样的垃圾评论防护插件
  1. set $comment_flagged 0;
  2. set $comment_request_method 0;
  3. set $comment_request_uri 0;
  4. set $comment_referrer 1;

  5. if ($request_method ~ "POST"){
  6.     set $comment_request_method 1;
  7. }

  8. if ($request_uri ~ "/wp-comments-post\.php$"){
  9.     set $comment_request_method 1;
  10. }

  11. if ($http_referer !~ "^https?://(([^/]+\.)?site\.com|jetpack\.wordpress\.com/jetpack-comment)(/|$)"){
  12.     set $comment_referrer 0;
  13. }

  14. set $comment_flagged "${comment_request_method}${comment_request_uri}${comment_referrer}";
  15. if ($comment_flagged = "111") {
  16.     return 403;
  17. }
复制代码
9.限制请求
WordPress登录页面wp-login.php是暴力攻击的常见端点。攻击者会尝试通过批量提交用户名和密码组合进行登录尝试,可能无法破解你的密码,但是对服务器资源占用非常大,可能会导致网站无法访问。
为此,我们可以应用一个规则来限制页面每秒可以处理的请求数。这里我们将限制设置为每秒2个请求,超过次数的请求将被阻止。
  1. limit_req_zone $binary_remote_addr zone=WPRATELIMIT:10m rate=2r/s;
  2. location ~ \wp-login.php$ {
  3.     limit_req zone=WPRATELIMIT;
  4. }
复制代码
10.禁用目录列表
最后一旦也非常重要,你应该禁用目录列表,以便攻击者无法知道目录中的内容。
  1. autoindex off;
复制代码
这样就可以了,是不是比较简单

道勤主机提供365天*24小时全年全天无休、实时在线、零等待的售后技术支持。竭力为您免费处理您在使用道勤主机过程中所遇到的一切问题! 如果您是道勤主机用户,那么您可以通过QQ【792472177】、售后QQ【59133755】、旺旺【诠释意念】、微信:q792472177免费电话、后台提交工单这些方式联系道勤主机客服! 如果您不是我们的客户也没问题,点击页面最右边的企业QQ在线咨询图标联系我们并购买后,我们为您免费进行无缝搬家服务,让您享受网站零访问延迟的迁移到道勤主机的服务!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

道勤网- 推荐内容!上一条 /2 下一条

!jz_fbzt! !jz_sgzt! !jz_xgzt! 快速回复 !jz_fhlb! !jz_lxwm! !jz_gfqqq!

关于我们|手机版|小黑屋|地图|【道勤网】-www.daoqin.net 软件视频自学教程|免费教程|自学电脑|3D教程|平面教程|影视动画教程|办公教程|机械设计教程|网站设计教程【道勤网】 ( 皖ICP备15000319号-1 )

GMT+8, 2024-12-1 20:19

Powered by DaoQin! X3.4 © 2016-2063 Dao Qin & 道勤科技

快速回复 返回顶部 返回列表