最新公告
  • 欢迎您光临源库坊,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • WordPress安全性增强的10个Nginx规则总结

    WordPress 是最受欢迎的建站程序,到目前为止,它拥有超过30%的网络市场份额,这也导致了 WordPress 经常会成为安全威胁的目标。因此,对于我们这些 WordPress 网站所有者来说,最好采取一些措施来加强网站的安全性。

    WordPress 可以运行在 Apache 或 Nginx 环境中,在《15个有用的WordPress .htaccess 代码片段》中,我们分享了一些Apache下的安全规则,今天我们将分享一些增强WordPress安全性的Nginx规则。

    1.限制访问XMLRPC

    WordPress中的XMLRPC端点(根目录下的xmlrpc.php文件)用于允许外部应用程序与WordPress数据交互。例如,它可以允许添加、创建或删除文章。但是,XMLRPC也是一种常见的攻击媒介,攻击者可以在未经授权的情况下执行这些操作。所以最好允许从您信任的授权IP请求XMLRPC,如下所示:

    location ~* /xmlrpc.php$ {
        allow 172.0.1.1;
        deny all;
    }

    添加上述内容后,应该在浏览器中访问 xmlrpc.php 时会看到403错误响应代码。

    2.限制请求类型

    大多数情况下,您的网站可能只执行两种类型的请求:

    • GET – 从你的网站上检索数据
    • POST – 将数据提交到你的网站

    所以,只允许我们的网站执行这两种请求类型,也是增强安全性的做法。

    if ($request_method !~ ^(GET|POST)$ ) {
        return 444;
    }

    3.禁止直接访问PHP文件

    在神不知鬼不觉的情况下,黑客可能会将PHP文件上传到你的服务器中,然后通过访问该恶意文件执行某些操作,即可在你的网站上创建后门。所有我们应该禁止直接访问任何php文件

    location ~* /(?:uploads|files|wp-content|wp-includes|akismet)/.*.php$ {
        deny all;
        access_log off;
        log_not_found off;
    }

    4.禁止访问某些敏感文件

    和PHP文件相似,以点开头的文件,比如 .htaccess.user.ini以及.git可能包含敏感信息。为了更安全,最好禁用对这些文件的直接访问

    location ~ /\.(svn|git)/* {
        deny all;
        access_log off;
        log_not_found off;
    }
    location ~ /\.ht {
        deny all;
        access_log off;
        log_not_found off;
    }
    location ~ /\.user.ini { 
        deny all; 
        access_log off;
        log_not_found off;
    }

    5.隐藏Nginx和PHP版本

    最好不要对外公开Nginx以及PHP版本,如果特定的Ningx或PHP版本暴露出漏洞,攻击者又发现你的服务器上的存在对应的漏洞版本,那可能就很危险了。以下规则可以隐藏Nginx和PHP版本:

    #隐藏 nginx 版本.
    server_tokens off;
    
    #隐藏 PHP 版本
    fastcgi_hide_header X-Powered-By;
    proxy_hide_header X-Powered-By;

    6.安全标头

    安全标头( header )通过指示浏览器行为提供额外的安全层。例如,X-Frame-Options,可以防止你的网站被嵌入到iframe框架中进行加载。而Strict-Transport-Security让浏览器采用HTTPS方式加载站点

    add_header X-Frame-Options SAMEORIGIN;
    add_header Strict-Transport-Security "max-age=31536000";
    add_header X-Content-Type-Options nosniff;
    add_header X-XSS-Protection "1; mode=block";

    7.阻止访问子目录

    如果你的网站在子目录上运行,例如/blog,则最好允许访问此子目录。这意味着,其他类似子目录的访问结构,例如, /82jdkj/?.php 将是攻击者经常试图访问的目标,所以我们就应该将 /blog 以外的子目录限制访问。

    location ~ ^/(?!(blog)/?) { 
        deny all;
        access_log off;
        log_not_found off;
    }

    8.减少垃圾评论

    垃圾评论可能不会破坏你的网站,但它会使你的数据库中写入这些垃圾内容,从而作为广告推广。要减少垃圾评论内容,您可以将以下规则添加到Nginx配置以及像Akismet这样的垃圾评论防护插件。

    set $comment_flagged 0;
    set $comment_request_method 0;
    set $comment_request_uri 0;
    set $comment_referrer 1;
     
    if ($request_method ~ "POST"){
        set $comment_request_method 1;
    }
     
    if ($request_uri ~ "/wp-comments-post\.php$"){
        set $comment_request_method 1;
    }
     
    if ($http_referer !~ "^https?://(([^/]+\.)?site\.com|jetpack\.wordpress\.com/jetpack-comment)(/|$)"){
        set $comment_referrer 0;
    }
     
    set $comment_flagged "${comment_request_method}${comment_request_uri}${comment_referrer}";
    if ($comment_flagged = "111") {
        return 403;
    }

    9.限制请求

    WordPress登录页面wp-login.php是暴力攻击的常见端点。攻击者会尝试通过批量提交用户名和密码组合进行登录尝试,可能无法破解你的密码,但是对服务器资源占用非常大,可能会导致网站无法访问

    为此,我们可以应用一个规则来限制页面每秒可以处理的请求数。这里我们将限制设置为每秒2个请求,超过次数的请求将被阻止。

    limit_req_zone $binary_remote_addr zone=WPRATELIMIT:10m rate=2r/s;
    location ~ \wp-login.php$ {
        limit_req zone=WPRATELIMIT;
    }

    10.禁用目录列表

    最后一旦也非常重要,你应该禁用目录列表,以便攻击者无法知道目录中的内容。

    autoindex off;
    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yuankufang.com",如遇到无法解压的请联系管理员!
    源库坊 » WordPress安全性增强的10个Nginx规则总结

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    源库坊
    一个高级程序员模板开发平台
    • 355会员总数(位)
    • 1195资源总数(个)
    • 0本周发布(个)
    • 0 今日发布(个)
    • 1572稳定运行(天)

    提供最优质的资源集合

    赞助本站svip 了解详情