提升WordPress网站安全性的方法之一是使用Nginx规则 - 汇站网

提升WordPress网站安全性的方法之一是使用Nginx规则

2024-01-14 0 910

正文:

WordPress 是目前最受欢迎的建站程序,占据了超过 30%的网络市场份额。然而,正因为如此,WordPress 也成为了安全威胁的目标。因此,作为 WordPress 网站的所有者,我们应该采取一些措施来加强网站的安全性。
提升WordPress网站安全性的方法之一是使用Nginx规则
WordPress 可以在ApacheNginx环境中运行,今天我们将分享一些可以增强 WordPress 安全性的Nginx 规则

1. 限制对 XMLRPC 的访问

XMLRPC 是 WordPress 中的一个端点,位于根目录下的 xmlrpc.php 文件中,它允许外部应用程序与 WordPress 进行数据交互。例如,它可以允许添加、创建或删除文章。然而,XMLRPC 也是一种常见的攻击媒介,攻击者可以在未经授权的情况下执行这些操作。因此,最好只允许来自您信任的授权 IP 地址的请求访问 XMLRPC。您可以通过以下方式实现:


```
location = /xmlrpc.php {
    deny all;
    allow 192.168.1.1;
    allow 192.168.1.2;
    deny all;
}
```

添加上述内容后,当您在浏览器中访问 xmlrpc.php 时,将会看到 403 错误响应代码。

2. 限制请求类型

大多数情况下,您的网站可能只执行两种类型的请求:GET?–从您的网站上检索数据,POST?–将数据提交到您的网站。因此,只允许执行这两种请求类型是增强安全性的做法。


if ($request_method !~ ^(GET|POST)$ ) {
    return 444;
}

3.禁止直接访问PHP文件

黑客可能会将 PHP 文件上传到您的服务器中,然后通过访问该恶意文件执行某些操作,从而在您的网站上创建后门。因此,我们应该禁止直接访问任何 PHP 文件。


location ~* /(?:uploads|files|wp-content|wp-includes|akismet)/.*.php$ {
    deny all;
    access_log off;
    log_not_found off;
}

4.禁止访问某些敏感文件

以点开头的文件,如.htaccess、.user.ini 以及.git 可能包含敏感信息。为了更安全,最好禁用对这些文件的直接访问。


location ~ /\.(svn|git)/* {
    deny all;
    access_log off;
    log_not_found off;
}
location ~ /\.ht {
    deny all;
    access_log off;
    log_not_found off;
}
location ~ /\.user.ini { 
    deny all; 
    access_log off;
    log_not_found off;
}

5.隐藏 Nginx 和 PHP 版本

最好不要对外公开 Nginx 以及 PHP 版本,以防特定的 Nginx 或 PHP 版本暴露出漏洞,攻击者发现您的服务器上存在对应的漏洞版本。以下规则可以隐藏 Nginx 和 PHP 版本:


#隐藏 Nginx 版本。
server_tokens off;
#隐藏 PHP 版本。
fastcgi_hide_header X-Powered-By;
proxy_hide_header X-Powered-By;

6.安全标头

安全标头通过指示浏览器行为提供额外的安全层。例如,X-Frame-Options 可以防止您的网站被嵌入到 iframe 框架中进行加载。而 Strict-Transport-Security 会让浏览器采用 HTTPS 方式加载站点。


add_header X-Frame-Options SAMEORIGIN;
add_header Strict-Transport-Security "max-age=31536000";
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";

7.阻止访问子目录

如果您的网站在子目录上运行,例如/blog,则最好只允许访问此子目录。这意味着,其他类似子目录的访问结构,例如/82jdkj/?.php?,将是攻击者经常试图访问的目标,因此我们应该限制对除了/blog 之外的子目录的访问。


location ~ ^/(?!(blog)/?) { 
    deny all;
    access_log off;
    log_not_found off;
}

8.减少垃圾评论

垃圾评论可能不会破坏你的网站,但它会使你的数据库中写入这些垃圾内容,从而作为广告推广。要减少垃圾评论内容,您可以将以下规则添加到 Nginx 配置以及像 Akismet 这样的垃圾评论防护插件。


set $comment_flagged 0;
set $comment_request_method 0;
set $comment_request_uri 0;
set $comment_referrer 1;
 
if ($request_method ~ "POST"){
    set $comment_request_method 1;
}
 
if ($request_uri ~ "/wp-comments-post\.php$"){
    set $comment_request_method 1;
}
 
if ($http_referer !~ "^https?://(([^/]+\.)?site\.com|jetpack\.wordpress\.com/jetpack-comment)(/|$)"){
    set $comment_referrer 0;
}
 
set $comment_flagged "${comment_request_method}${comment_request_uri}${comment_referrer}";
if ($comment_flagged = "111") {
    return 403;
}

9.限制请求

WordPress 登录页面 wp-login.php 是暴力攻击的常见端点。攻击者会尝试通过批量提交用户名和密码组合进行登录尝试,可能无法破解你的密码,但是对服务器资源占用非常大,可能会导致网站无法访问。
为此,我们可以应用一个规则来限制页面每秒可以处理的请求数。这里我们将限制设置为每秒 2 个请求,超过次数的请求将被阻止。


limit_req_zone $binary_remote_addr zone=WPRATELIMIT:10m rate=2r/s;
location ~ \wp-login.php$ {
    limit_req zone=WPRATELIMIT;
}

10.禁用目录列表

最后一旦也非常重要,你应该禁用目录列表,以便攻击者无法知道目录中的内容。



autoindex off;

结语:

网站安全已经是 SEO 优化中非常重要的一环,一旦网站被黑客入侵,就可能导致网站打不开、访问速度变慢、被挂黑链等问题,而这些问题一出现就有可能被搜索引擎拉入黑名单,导致网站被 K,作为 SEOer 掌握最基础的网站安全防范知识是很有必要的。

转载请注明:汇站网 » 提升 WordPress 网站安全性的方法之一是使用 Nginx 规则

收藏 (0)

微信扫一扫

支付宝扫一扫

点赞 (0)

免责声明

本资源仅用于个人学习和研究使用,禁止用于任何商业环境!

 1.  本网站名称:汇站网
 2.  本站永久网址:https://www.huizhanii.com/
 3.  本站所有资源来源于网友投稿和高价购买,所有资源仅对编程人员及源代码爱好者开放下载做参考和研究及学习,本站不提供任何技术服务!
 4.  本站所有资源的展示图片和信息不代表本站的立场!本站只是储蓄平台及搬运
 5.  下载者禁止在服务器和虚拟机下进行搭建运营,本站所有资源不支持联网运行!只允许调试,参考和研究!!!!
 6.  未经原版权作者许可,禁止用于任何商业环境,任何人不得擅作它用,下载者不得用于违反国家法律,否则发生的一切法律后果自行承担!
 7.  为尊重作者版权,请在下载24小时内删除!请购买原版授权作品,支持你喜欢的作者,谢谢!
 8.  若资源侵犯了您的合法权益, 请持您的版权证书和相关原作品信息来信通知我们请来信     通知我们 我们会及时删除,给您带来的不便,我们深表歉意!
 9.  如下载链接失效、广告或者压缩包问题请联系站长处理!
 10.  如果你也有好源码或者教程,可以发布到网站,分享有金币奖励和额外收入!
 11.  本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
 12.  因源码具有可复制性,一经赞助 ,不得以任何形式退款。
 13.  更多详情请点击查看

汇站网 技术分享 提升WordPress网站安全性的方法之一是使用Nginx规则 https://www.huizhanii.com/34408.html

汇站

站长资源下载中心-找源码上汇站

常见问题
  • 如果付款后没有弹出下载页面,多刷新几下,有问题联系客服!
查看详情
  • 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。
查看详情

相关文章

发表评论
暂无评论
  随机评论   表情   下载本站到电脑桌面


表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情 表情表情表情表情表情表情表情 表情表情表情表情表情表情表情表情
登录后评论
联系官方客服

为您解决烦忧 - 24小时在线 专业服务

(汇站网)一个专注站长资源的平台网站,提供最新的网站模板和整站源码,内容包含各类精品网页模板,企业网站模板,网站模板,DIV+CSS模板,织梦模板,帝国cms模板,discuz模板,wordpress模板,个人博客论坛模板,上千种免费网页模板下载尽在汇站网.找源码上汇站.huizhanii.com