宇宙主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

欧基零壹微头条IP归属甄别会员请立即修改密码
查看: 2113|回复: 17

安全使用wordpress的一点小技巧,dalao请无视哈

[复制链接]
发表于 2016-12-7 17:54:26 | 显示全部楼层 |阅读模式

用过wordpress的都知道,wordpress的wp-admin目录和wp-config.php文件无时不刻都在被各种ip扫描,
虽然可以修改默认名称提高安全,但是给以后升级和装themes会带来麻烦。
我方法是,用指定IP访问wp-admin目录和wp-config.php文件,其它一律返回403。
如果用的apache就很简单,直接添加.htaccess相关条件就可以了,用nginx的麻烦一点,在server节点下面添加如下语句:

  1.     set $sec ' ';
  2.     if ($request_uri ~* "^((/wp-admin)|(/wp-login))") {
  3.         set $sec uri;
  4.     }
  5.     if ($remote_addr !~* ^111\.111\.111\.111.*){
  6.        set $sec "${sec}Ip";
  7.     }
  8.     if ($sec = uriIp){
  9.         return 403;
  10.     }
复制代码


我用的是 nginx1.10.2, 其中,111.111.111.111是自己的ss的 ip,这样以后就只能挂ss才能访问后台了。
正常的浏览不受任何影响,只是要登录后台管理的时候才需要挂ss。
这个方法我已经用了一年多了,感觉还不错,现在共享给大家。
发表于 2016-12-7 17:58:38 来自手机 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2016-12-7 17:59:09 | 显示全部楼层
这个适用于所有带后台的站吧?没啥鸟用啊
发表于 2016-12-7 18:00:39 | 显示全部楼层
wp-config.php  php文件被扫描有什么用,能读取到里面的配置信息?如果php文件都能在客户端被读取到内容,那php也就完蛋了。
 楼主| 发表于 2016-12-7 18:04:05 | 显示全部楼层
BQQ 发表于 2016-12-7 18:00
wp-config.php  php文件被扫描有什么用,能读取到里面的配置信息?如果php文件都能在客户端被读取到内容, ...


你当他们扫描就是为了看文件?只要是可执行的,就会带各种参数去试运行,根据返回的报错信息再进行分析。
发表于 2016-12-7 18:06:15 | 显示全部楼层
在防火墙上做防护就好,为什么要在WP文件上做?
发表于 2016-12-7 18:08:11 | 显示全部楼层
miniloop 发表于 2016-12-7 18:04
你当他们扫描就是为了看文件?只要是可执行的,就会带各种参数去试运行,根据返回的报错信息再进行分析。 ...

这个文件没必要可远程执行吧,感觉设置只让服务器本机读取即可,远程执行这个文件直接403
 楼主| 发表于 2016-12-7 18:09:58 | 显示全部楼层
BQQ 发表于 2016-12-7 18:08
这个文件没必要可远程执行吧,感觉设置只让服务器本机读取即可,远程执行这个文件直接403 ...

当然,所以我代码里是禁止的wp-login.php这个文件,因为我的wp不需要任何人登录除了我自己。
发表于 2016-12-7 18:25:02 | 显示全部楼层
嗯,这个不错的。
发表于 2016-12-7 18:25:31 | 显示全部楼层
不行啊,挂了SS还是403
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|宇宙主机交流论坛

GMT+8, 2024-10-30 15:24 , Processed in 0.083084 second(s), 10 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表