这是宝塔面板安全配置第十篇文章,全文共计1002个字,预计阅读时长5分钟。
冬至到了,愿你拥有不期而遇的温暖。
一、前言:
WordPress是博客系统中使用量最大的一个平台,通过这个平台可以很简单的实现一个博客的搭建和使用。因为有很多的第三方软件会有很大的问题,导致了一些安全问题的产生,希望通过本文能给大家带来一个更安全的博客系统
二、WordPress简介
WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统(CMS)来使用。
WordPress是一款个人博客系统,并逐步演化成一款内容管理系统软件,它是使用PHP语言和MySQL数据库开发的,用户可以在支持 PHP 和 MySQL数据库的服务器上使用自己的博客。
三、环境介绍
Centos8 + LNMP
Nginx 1.18
PHP 7.2
Mysql 5.6
测试域名:word.com
只有一个账户+当作博客系统的建议做的安全设置
三、后台加固
http://word.com/wp-login.php
一般市面上都是修改后台登陆地址。那样子需要修改代码。这里介绍一个更简单的一个方式(目录保护)
因为宝塔这个没有默认给一个URI防御,所以这里需要改一下。(后续提供URI防御)
找到这个目录的文件
只需要删除/*
如下:
然后访问后台
四、插件+主题后门防御
这里也是通过一个简单的策略来防御很多问题
首先分析一下目录结构
wp-admin 后台 (设置目录防御)
wp-content 内容
wp-includes 引用的类
4.1:设置网站目录为root 755 (当前网站文件目录)
4.2 设置图片目录为www
图片目录为/www/wwwroot/word.com/wp-content/uploads
设置www权限
4.3 设置后台不允许访问(/wp-admin/)
4.4 设置图片目录不允许执行PHP(这步骤很重要)
暂时宝塔面板还没有设置不允许执行php的选项。后续版本会出来,感谢大家的支持。
这里只能自己改一下Nginx的配置文件了
参考文章如下:https://www.bt.cn/bbs/thread-52183-1-1.html
location ~ ^/wp-content/uploads/.*.php{deny all;}
测试一下。在/wp-content/uploads/ 目录下建立一个111.php
访问测试
已经不能执行php了。
五、总结
-
WordPress的结构也通过MVC的思路来进行防御,通过黑白名单的思路可以解决很多安全问题
-
后续我们会持续更新更多的项目的安全策略。敬请期待
-
如果此文章对你有帮助请转发至朋友圈中让更多人能学习
END
相关文章
