51工具盒子

依楼听风雨
笑看云卷云舒,淡观潮起潮落

提升WordPress网站安全性的小技巧

WordPress作为全球使用量最大的博客系统平台,其简易性让众多用户可以轻松搭建并使用自己的博客。然而,由于第三方软件的引入可能带来各种问题,特别是安全问题,因此本文将分享如何构建一个更安全的WordPress博客系统。

一、WordPress简介

WordPress是一款基于PHP语言开发的开源博客平台。用户可以在支持PHP和MySQL数据库的服务器上轻松搭建自己的网站,或者将其作为内容管理系统(CMS)来使用。原本设计为个人博客系统的WordPress,如今已经逐步演化成一款功能丰富的内容管理软件。

二、环境介绍

本文的测试环境是Centos8 + LNMP,具体包括:

  • Nginx 1.18

  • PHP 7.2

  • Mysql 5.6

  • 测试域名:word.com

在这个环境下,我们只有一个账户,并且将进行一些建议的安全设置以增强其作为博客系统的安全性。

三、后台加固

WordPress

通常情况下,为了提高WordPress后台的安全性,我们会修改默认的登录地址。但是在这里,我们将介绍一种更为简便的方法------目录保护。

WordPress

因为宝塔这个没有默认给一个URI防御,所以这里需要改一下(后续提供URI防御)。

WordPress

找到这个目录的文件。

WordPress

WordPress

只需要删除/*:

WordPress

然后访问后台:

WordPress

四、插件+主题后门防御

为了增强WordPress的安全性,还可以通过一些策略来防止潜在的问题,包括对目录结构的分析以及相应的设置。

WordPress

  • wp-admin 后台(设置目录防御)

  • wp-content 内容

  • wp-includes 引用的类

1、我们首先将网站目录设置为root 755。

WordPress
2、将图片目录设置为www,并对权限进行相应设置。

WordPress

3、设置后台目录不允许被访问。

WordPress

4、为了防止恶意执行PHP代码,我们对图片目录进行了特殊设置,使其无法执行PHP代码。

WordPress

location ~ ^/wp-content/uploads/.*\.php{
deny all;
}

测试一下,在/wp-content/uploads/ 目录下建立一个111.php。

WordPress

访问测试:

WordPress

通过这些措施,就可以大幅提升WordPress网站的安全性。

赞(5)
未经允许不得转载:工具盒子 » 提升WordPress网站安全性的小技巧