增强WordPress安全性的10个Nginx规则
以下代码由PHP站长网 52php.cn收集自互联网现在PHP站长网小编把它分享给大家,仅供参考 wordpress 是最受欢迎的建站程序,到目前为止,它拥有超过 30%的网络市场份额,这也导致了 WordPress 经常会成为安全威胁的目标。因此,对于我们这些 WordPress 网站所有者来说,最好采取一些措施来加强网站的安全性。今天我们将分享一些增强 WordPress 安全性的 Nginx 规则。 1.限制访问 XMLRPCWordPress 中的 XMLRPC 端点(根目录下的 xmlrpc.php 文件)用于允许外部应用程序与 WordPress 数据交互。例如,它可以允许添加、创建或删除文章。但是,XMLRPC 也是一种常见的攻击媒介,攻击者可以在未经授权的情况下执行这些操作。所以最好允许从您信任的授权 IP 请求 XMLRPC,如下所示: location ~* /xmlrpc.php$ { allow 172.0.1.1; deny all; } 添加上述内容后,应该在浏览器中访问 xmlrpc.php 时会看到 403 错误响应代码。 2.限制请求类型大多数情况下,您的网站可能只执行两种类型的请求: GET – 从你的网站上检索数据 POST – 将数据提交到你的网站 所以,只允许我们的网站执行这两种请求类型,也是增强安全性的做法。 if ($request_method !~ ^(GET|POST)$ ) { return 444; } 3.禁止直接访问 PHP 文件在神不知鬼不觉的情况下,黑客可能会将 PHP 文件上传到你的服务器中,然后通过访问该恶意文件执行某些操作,即可在你的网站上创建后门。所有我们应该禁止直接访问任何 php 文件: location ~* /(?:uploads|files|wp-content|wp-includes|akismet)/.*.php$ { deny all; access_log off; log_not_found off; } 4.禁止访问某些敏感文件和 PHP 文件相似,以点开头的文件,比如 .htaccess、.user.ini 以及.git 可能包含敏感信息。为了更安全,最好禁用对这些文件的直接访问。 location ~ /.(svn|git)/* { ? deny all; ? access_log off; ? log_not_found off; ? } ? location ~ /.ht { ? deny all; ? access_log off; ? log_not_found off; ? } ? location ~ /.user.ini { ? deny all; ? access_log off; ? log_not_found off; ? } 5.隐藏 Nginx 和 PHP 版本最好不要对外公开 Nginx 以及 PHP 版本,如果特定的 Ningx 或 PHP 版本暴露出漏洞,攻击者又发现你的服务器上的存在对应的漏洞版本,那可能就很危险了。以下规则可以隐藏 Nginx 和 PHP 版本: #隐藏 nginx 版本. server_tokens off; ? #隐藏 PHP 版本 fastcgi_hide_header X-Powered-By; proxy_hide_header X-Powered-By; 6.安全标头安全标头( header )通过指示浏览器行为提供额外的安全层。例如,X-Frame-Options,可以防止你的网站被嵌入到 iframe 框架中进行加载。而 Strict-Transport-Security 会让浏览器采用 HTTPS 方式加载站点。 add_header X-Frame-Options SAMEORIGIN; add_header Strict-Transport-Security "max-age=31536000"; add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection "1; mode=block"; 7.阻止访问子目录如果你的网站在子目录上运行,例如/blog,则最好允许访问此子目录。这意味着,其他类似子目录的访问结构,例如, /82jdkj/?.php 将是攻击者经常试图访问的目标,所以我们就应该将 /blog 以外的子目录限制访问。 location ~ ^/(?!(blog)/?) { deny all; access_log off; log_not_found off; } 8.减少垃圾评论垃圾评论可能不会破坏你的网站,但它会使你的数据库中写入这些垃圾内容,从而作为广告推广。要减少垃圾评论内容,您可以将以下规则添加到 Nginx 配置以及像 Akismet 这样的垃圾评论防护插件。 set $comment_flagged 0; set $comment_request_method 0; set $comment_request_uri 0; set $comment_referrer 1; ? if ($request_method ~ "POST"){ set $comment_request_method 1; } ? if ($request_uri ~ "/wp-comments-post.php$"){ set $comment_request_method 1; } ? if ($http_referer !~ "^https?://(([^/]+.)?site.com|jetpack.wordpress.com/jetpack-comment)(/|$)"){ set $comment_referrer 0; } ? set $comment_flagged "${comment_request_method}${comment_request_uri}${comment_referrer}"; if ($comment_flagged = "111") { return 403; } 9.限制请求WordPress 登录页面 wp-login.php 是暴力攻击的常见端点。攻击者会尝试通过批量提交用户名和密码组合进行登录尝试,可能无法破解你的密码,但是对服务器资源占用非常大,可能会导致网站无法访问。为此,我们可以应用一个规则来限制页面每秒可以处理的请求数。这里我们将限制设置为每秒 2 个请求,超过次数的请求将被阻止。 limit_req_zone $binary_remote_addr zone=WPRATELIMIT:10m rate=2r/s; location ~ wp-login.php$ { limit_req zone=WPRATELIMIT; } 10.禁用目录列表最后一旦也非常重要,你应该禁用目录列表,以便攻击者无法知道目录中的内容。 autoindex off; 以上内容由PHP站长网【52php.cn】收集整理供大家参考研究如果以上内容对您有帮助,欢迎收藏、点赞、推荐、分享。 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |