WordPress是使用最多的一个程序,大家可以通过这个平台实现简单博客的搭建和使用,但是由于第三方软件有问题会导致网站出现安全问题,那么让WordPress网站更安全的方法是什么?
环境介绍:
Centos8 + LNMP
Nginx 1.18
PHP 7.2
Mysql 5.6
只有一个账户+当作博客系统的建议做的安全设置
后台加固:
一般市面上都是修改后台**地址。那样子需要修改代码。这里介绍一个更简单的一个方式(目录保护)
因为宝塔这个没有默认给一个URI防御,所以这里需要改一下。(后续提供URI防御)
找到这个目录的文件
只需要删除/*
如下:
然后访问后台
插件+主题后门防御
这里也是通过一个简单的策略来防御很多问题。
首先分析一下目录结构
wp-admin 后台 (设置目录防御)
wp-content 内容
wp-includes 引用的类
设置网站目录为root 755 (当前网站文件目录)
设置图片目录为www
图片目录为/www/wwwroot/word.com/wp-content/uploads
设置www权限
设置后台不允许访问(/wp-admin/)
设置图片目录不允许执行PHP(这步骤很重要)
暂时宝塔面板还没有设置不允许执行php的选项。后续版本会出来,感谢大家的支持。
这里只能自己改一下Nginx的配置文件了
location ~ ^/wp-content/uploads/.*\.php{
deny all;
}
测试一下。在/wp-content/uploads/ 目录下建立一个111.php
访问测试
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容