10个Nginx规则来增强WordPress网站安全性

WordPress是目前最受欢迎的建站程序,也就导致WordPress经常受到安全威胁,所以作为WordPress所有者来说,就需要采取一些措施来加强网站安全性,今天分享10个Nginx规则来增强WordPress网站安全性。

10个Nginx规则来增强WordPress网站安全性

1.限制访问XMLRPC

WordPress中的XMLRPC端点(根目录下的xmlrpc.php文件)用于允许外部应用程序与WordPress数据交互。例如,它可以允许添加、创建或删除文章。但是,XMLRPC也是一种常见的攻击媒介,攻击者可以在未经授权的情况下执行这些操作。所以最好允许从您信任的授权IP请求XMLRPC,如下所示:

location ~* /xmlrpc.php$ {

allow 172.0.1.1;

deny all;

}

添加上述内容后,应该在浏览器中访问 xmlrpc.php 时会看到403错误响应代码。

2.限制请求类型

大多数情况下,您的网站可能只执行两种类型的请求:

GET – 从你的网站上检索数据

POST – 将数据提交到你的网站

所以,只允许我们的网站执行这两种请求类型,也是增强安全性的做法。

if ($request_method !~ ^(GET|POST)$ ) { return 444; }

3.禁止直接访问PHP文件

在神不知鬼不觉的情况下,黑客可能会将PHP文件上传到你的服务器中,然后通过访问该恶意文件执行某些操作,即可在你的网站上创建后门。所有我们应该禁止直接访问任何php文件:

location ~* /(?:uploads|files|wp-content|wp-includes|akismet)/.*.php$ {

deny all;

access_log off;

log_not_found off;

}

4.禁止访问某些敏感文件

和PHP文件相似,以点开头的文件,比如 .htaccess、.user.ini以及.git可能包含敏感信息。为了更安全,最好禁用对这些文件的直接访问。

location ~ /\.(svn|git)/* {

deny all;

access_log off;

log_not_found off;

}

location ~ /\.ht {

deny all;

access_log off;

log_not_found off;

}

location ~ /\.user.ini {

deny all;

access_log off;

log_not_found off;

}

5.隐藏Nginx和PHP版本

最好不要对外公开Nginx以及PHP版本,如果特定的Ningx或PHP版本暴露出漏洞,攻击者又发现你的服务器上的存在对应的漏洞版本,那可能就很危险了。以下规则可以隐藏Nginx和PHP版本:

#隐藏 nginx 版本.

server_tokens off;

#隐藏 PHP 版本

fastcgi_hide_header X-Powered-By;

proxy_hide_header X-Powered-By;

6.安全标头

安全标头( header )通过指示浏览器行为提供额外的安全层。例如,X-Frame-Options,可以防止你的网站被嵌入到iframe框架中进行加载。而Strict-Transport-Security会让浏览器采用HTTPS方式加载站点。

add_header X-Frame-Options SAMEORIGIN;

add_header Strict-Transport-Security “max-age=31536000”;

add_header X-Content-Type-Options nosniff;

add_header X-XSS-Protection “1; mode=block”;

7.阻止访问子目录

如果你的网站在子目录上运行,例如/blog,则最好允许访问此子目录。这意味着,其他类似子目录的访问结构,例如, /82jdkj/?.php 将是攻击者经常试图访问的目标,所以我们就应该将 /blog 以外的子目录限制访问。

location ~ ^/(?!(blog)/?) {

deny all;

access_log off;

log_not_found off;

}

8.减少垃圾

评论

垃圾评论可能不会破坏你的网站,但它会使你的数据库中写入这些垃圾内容,从而作为广告推广。要减少垃圾评论内容,您可以将以下规则添加到Nginx配置以及像Akismet这样的垃圾评论防护插件。

set $comment_flagged 0;

set $comment_request_method 0;

set $comment_request_uri 0;

set $comment_referrer 1;

if ($request_method ~ “POST”){

set $comment_request_method 1;

}

if ($request_uri ~ “/wp-comments-post\.php$”){

set $comment_request_method 1;

}

if ($http_referer !~ “^https?://(([^/]+\.)?site\.com|jetpack\.wordpress\.com/jetpack-comment)(/|$)”){

set $comment_referrer 0;

}

set $comment_flagged “${comment_request_method}${comment_request_uri}${comment_referrer}”;

if ($comment_flagged = “111”) {

return 403;

}

9.限制请求

WordPress登录页面wp-login.php是暴力攻击的常见端点。攻击者会尝试通过批量提交用户名和密码组合进行登录尝试,可能无法破解你的密码,但是对服务器资源占用非常大,可能会导致网站无法访问。

为此,我们可以应用一个规则来限制页面每秒可以处理的请求数。这里我们将限制设置为每秒2个请求,超过次数的请求将被阻止。

limit_req_zone $binary_remote_addr zone=WPRATELIMIT:10m rate=2r/s;

location ~ \wp-login.php$ {

limit_req zone=WPRATELIMIT;

}

10.禁用目录列表

最后一旦也非常重要,你应该禁用目录列表,以便攻击者无法知道目录中的内容。

autoindex off;

给TA打赏
共{{data.count}}人
人已打赏
WP教程

WordPress媒体库上传文件自动重命名教程

2020-9-4 9:45:12

WP教程

如何检测WordPress当前页面使用的哪个模板文件?

2020-9-4 10:02:09




重要声明

本站资源来自会员发布以及互联网收集,不代表本站立场,如有侵犯你的权益请联系管理员-车车站内发信联系 我们会第一时间进行审核删除。站内资源为网友个人学习或测试研究使用,未经原版权作者许可,禁止用于任何商业途径!请用户仔细辨认内容的真实性,避免上当受骗!本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。请在下载24小时内删除!


如果遇到付费才可观看的文章,建议升级终身VIP。全站所有资源任意下免费看”。本站资源少部分采用7z压缩,为防止有人压缩软件不支持7z格式,7z解压,建议下载7-zip,zip、rar解压,建议下载WinRAR

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索