wordpress安全设置

作者: 麻辣阁 分类: wordpress 发布时间: 2018-11-21 10:44

保护安装文件

在保护程序安装程序方面,WordPress做的尚不如国内的一些建站程序(如Discuz!)。WordPress的安装文件install.php可以被任何人访问。如果你的主机宕机,在数据库恢复正常之前,你的网站很有可能被任何人全新安装,给你带来无可挽回损失。非常糟糕。幸运的是,我们有个小技巧可以轻松解决:删除 install.php 文件。

删除 WordPress 安装目录下的 /wp-admin/install.php 文件,就彻底消除了隐患。

设置nginx针对某个url限制ip访问,常用于后台访问限制

配置示例:

    # 设置nginx针对某个url限制ip访问,常用于后台访问限制
    location ~ ^/(wp-admin|wp-login\.php)  {
        allow 1.1.1.1;
        allow 12.12.12.0/24;
        deny all;
        location ~ \.php$ {
            root /var/nginx/html;
            fastcgi_pass   127.0.0.1:9000;
            fastcgi_index  index.php;
            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
            include        fastcgi_params;
        }
    }

需要注意的是,在这个location下也得加入php解析相关的配置,否则php文件无法解析。

好吧, 这样配置之后只能限制登录访问 wp-admin, 并不能限制 wp-admin 开头的其他所有网址, 也不能限制用户名猜测和密码尝试.

参考:nginx针对某个url限制ip访问,常用于后台访问限制

WPScan

WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括主题漏洞、插件漏洞和WordPress本身的漏洞。最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞,并且支持最新版本的WordPress。值得注意的是,它不仅能够扫描类似robots.txt这样的敏感文件,而且还能够检测当前已启用的插件和其他功能。

参考:

iThemes Security 插件

iThemes安全使用Sucuri SiteCheck来驱动插件中的恶意软件扫描功能。 Sucuri SiteCheck采用了10点网站检查扫描您的站点为已知的恶意软件、黑名单状态、网站错误、过期的软件。强力保护您的WordPress站点,限制每个用户登录失败的次数,超过次数自动锁定。可以检测文件的更改,会邮件警告显示任何文件的更改。如果有人恶意扫描您的网站的漏洞,它会产生大量的404错误,iThemes安全将在达到你设置的限制后锁定该IP。设置网站角色(管理员,作者,投稿者等)需要设置复杂的密码。锁定不良用户。可以设置离开模式。改变你的WordPress登录区的默认网址。数据库备份功能。邮件提醒各种安全警告。仪表板小工具中可以显示安全统计数据快速视图。在线文件比对核心文件,查看是否被恶意更改.

iThemes Security 有可能导致某些主题的编辑和设置菜单消失. 如果wordpress 缓存等设置太复杂, 需要卸载 iThemes Security 并且重启机器后才能恢复.

Wordfence Security 插件

推荐安装, Anti-virus, Firewall and Malware Scan.


发表评论

电子邮件地址不会被公开。 必填项已用*标注