A帮手 - 常用软件下载安装教程 | 网盘资源下载 | 绿色软件下载

通过Nginx规则来提升 WordPress的安全性

  • 2025-01-14
  • 阅读:19

1.禁止访问 XMLRPC

WordPress 中的 XMLRPC 端点(根目录下的 xmlrpc.php 文件)用于允许外部应用程序与 WordPress 数据交互。例如,它可以允许添加、创建或删除文章。但是,XMLRPC 也是一种常见的攻击媒介,攻击者可以在未经授权的情况下执行这些操作。所以最好允许从您信任的授权 IP 请求 XMLRPC ,如下所示:

location ~* /xmlrpc.php$ {
    allow 172.0.1.1;
    deny all;
}

添加上述内容后,应该在浏览器中访问 xmlrpc.php 时会看到 403 错误响应代码。

2.限制请求类型

大多数情况下,您的网站可能只执行两种类型的请求:

  • GET – 从你的网站上检索数据
  • POST – 将数据提交到你的网站

所以,只允许我们的网站执行这两种请求类型,也是增强安全性的做法。

if ($request_method !~ ^(GET|POST)$ ) {
    return 444;
}

3.禁止直接访问 PHP 文件

在神不知鬼不觉的情况下,黑客可能会将 PHP 文件上传到你的服务器中,然后通过访问该恶意文件执行某些操作,即可在你的网站上创建后门。所以禁止直接访问任何 php 文件

location ~* /(?:uploads|files|wp-content|wp-includes|akismet)/.*.php$ {
    deny all;
    access_log off;
    log_not_found off;
}

4.禁止访问某些敏感文件

和 PHP 文件相似,以点开头的文件,比如 .htaccess.user.ini 以及 .git 可能包含敏感信息。为了更安全,最好禁用对这些文件的直接访问

location ~ /\.(svn|git)/* {
    deny all;
    access_log off;
    log_not_found off;
}
location ~ /\.ht {
    deny all;
    access_log off;
    log_not_found off;
}
location ~ /\.user.ini { 
    deny all; 
    access_log off;
    log_not_found off;
}

5.隐藏 Nginx 和 PHP 版本

最好不要对外公开 Nginx 以及 PHP 版本,如果特定的 Ningx 或 PHP 版本暴露出漏洞:

#隐藏 nginx 版本.
server_tokens off;
#隐藏 PHP 版本
fastcgi_hide_header X-Powered-By;
proxy_hide_header X-Powered-By;

6.添加 Header 安全标头

安全标头( header )通过指示浏览器行为提供额外的安全层。例如,X-Frame-Options,可以防止你的网站被嵌入到 iframe 框架中进行加载。而 Strict-Transport-Security 会让浏览器采用 HTTPS 方式加载站点

add_header X-Frame-Options SAMEORIGIN;
add_header Strict-Transport-Security "max-age=31536000";
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";

7.禁止访问子目录

如果你的网站在子目录上运行,例如 /blog,则最好允许访问此子目录。所以应该将 /blog 以外的子目录限制访问。

location ~ ^/(?!(blog)/?) { 
    deny all;
    access_log off;
    log_not_found off;
}

8.减少垃圾评论

set $comment_flagged 0;
set $comment_request_method 0;
set $comment_request_uri 0;
set $comment_referrer 1;
 
if ($request_method ~ "POST"){
    set $comment_request_method 1;
}
 
if ($request_uri ~ "/wp-comments-post\.php$"){
    set $comment_request_method 1;
}
 
if ($http_referer !~ "^https?://(([^/]+\.)?site\.com|jetpack\.wordpress\.com/jetpack-comment)(/|$)"){
    set $comment_referrer 0;
}
 
set $comment_flagged "${comment_request_method}${comment_request_uri}${comment_referrer}";
if ($comment_flagged = "111") {
    return 403;
}

9.限制请求

WordPress 登录页面 wp-login.php 是暴力攻击的常见端点。攻击者会尝试通过批量提交用户名和密码组合进行登录尝试,可能无法破解你的密码,但是对服务器资源占用非常大,可能会导致网站无法访问

为此,我们可以应用一个规则来限制页面每秒可以处理的请求数。这里我们将限制设置为每秒 2 个请求,超过次数的请求将被阻止。

limit_req_zone $binary_remote_addr zone=WPRATELIMIT:10m rate=2r/s;
location ~ \wp-login.php$ {
    limit_req zone=WPRATELIMIT;
}

10.禁用目录列表

最后一个规则也非常重要,你应该禁用目录列表,让攻击者无法知道网站目录中的内容。

autoindex off;

部分评论