WordPress作为全球使用量最大的博客系统平台,其简易性让众多用户可以轻松搭建并使用自己的博客。然而,由于第三方软件的引入可能带来各种问题,特别是安全问题,因此本文将分享如何构建一个更安全的WordPress博客系统。
一、WordPress简介
WordPress是一款基于PHP语言开发的开源博客平台。用户可以在支持PHP和MySQL数据库的服务器上轻松搭建自己的网站,或者将其作为内容管理系统(CMS)来使用。原本设计为个人博客系统的WordPress,如今已经逐步演化成一款功能丰富的内容管理软件。
二、环境介绍
本文的测试环境是Centos8 + LNMP,具体包括:
-
Nginx 1.18
-
PHP 7.2
-
Mysql 5.6
-
测试域名:word.com
在这个环境下,我们只有一个账户,并且将进行一些建议的安全设置以增强其作为博客系统的安全性。
三、后台加固
通常情况下,为了提高WordPress后台的安全性,我们会修改默认的登录地址。但是在这里,我们将介绍一种更为简便的方法------目录保护。
因为宝塔这个没有默认给一个URI防御,所以这里需要改一下(后续提供URI防御)。
找到这个目录的文件。
只需要删除/*:
然后访问后台:
四、插件+主题后门防御
为了增强WordPress的安全性,还可以通过一些策略来防止潜在的问题,包括对目录结构的分析以及相应的设置。
-
wp-admin 后台(设置目录防御)
-
wp-content 内容
-
wp-includes 引用的类
1、我们首先将网站目录设置为root 755。
2、将图片目录设置为www,并对权限进行相应设置。
3、设置后台目录不允许被访问。
4、为了防止恶意执行PHP代码,我们对图片目录进行了特殊设置,使其无法执行PHP代码。
location ~ ^/wp-content/uploads/.*\.php{
deny all;
}
测试一下,在/wp-content/uploads/ 目录下建立一个111.php。
访问测试:
通过这些措施,就可以大幅提升WordPress网站的安全性。