全球主机交流论坛

标题: 安全使用wordpress的一点小技巧,dalao请无视哈 [打印本页]
作者: miniloop    时间: 2016-12-7 17:54
标题: 安全使用wordpress的一点小技巧,dalao请无视哈

用过wordpress的都知道,wordpress的wp-admin目录和wp-config.php文件无时不刻都在被各种ip扫描,
虽然可以修改默认名称提高安全,但是给以后升级和装themes会带来麻烦。
我方法是,用指定IP访问wp-admin目录和wp-config.php文件,其它一律返回403。
如果用的apache就很简单,直接添加.htaccess相关条件就可以了,用nginx的麻烦一点,在server节点下面添加如下语句:

  1.     set $sec ' ';
  2.     if ($request_uri ~* "^((/wp-admin)|(/wp-login))") {
  3.         set $sec uri;
  4.     }
  5.     if ($remote_addr !~* ^111\.111\.111\.111.*){
  6.        set $sec "${sec}Ip";
  7.     }
  8.     if ($sec = uriIp){
  9.         return 403;
  10.     }
复制代码


我用的是 nginx1.10.2, 其中,111.111.111.111是自己的ss的 ip,这样以后就只能挂ss才能访问后台了。
正常的浏览不受任何影响,只是要登录后台管理的时候才需要挂ss。
这个方法我已经用了一年多了,感觉还不错,现在共享给大家。
作者: mrjoel    时间: 2016-12-7 17:58
提示: 作者被禁止或删除 内容自动屏蔽
作者: lsza    时间: 2016-12-7 17:59
这个适用于所有带后台的站吧?没啥鸟用啊
作者: BQQ    时间: 2016-12-7 18:00
wp-config.php  php文件被扫描有什么用,能读取到里面的配置信息?如果php文件都能在客户端被读取到内容,那php也就完蛋了。
作者: miniloop    时间: 2016-12-7 18:04
BQQ 发表于 2016-12-7 18:00
wp-config.php  php文件被扫描有什么用,能读取到里面的配置信息?如果php文件都能在客户端被读取到内容, ...


你当他们扫描就是为了看文件?只要是可执行的,就会带各种参数去试运行,根据返回的报错信息再进行分析。
作者: 倾城翻翻    时间: 2016-12-7 18:06
在防火墙上做防护就好,为什么要在WP文件上做?
作者: BQQ    时间: 2016-12-7 18:08
miniloop 发表于 2016-12-7 18:04
你当他们扫描就是为了看文件?只要是可执行的,就会带各种参数去试运行,根据返回的报错信息再进行分析。 ...

这个文件没必要可远程执行吧,感觉设置只让服务器本机读取即可,远程执行这个文件直接403
作者: miniloop    时间: 2016-12-7 18:09
BQQ 发表于 2016-12-7 18:08
这个文件没必要可远程执行吧,感觉设置只让服务器本机读取即可,远程执行这个文件直接403 ...

当然,所以我代码里是禁止的wp-login.php这个文件,因为我的wp不需要任何人登录除了我自己。
作者: nic2013    时间: 2016-12-7 18:25
嗯,这个不错的。
作者: junhan    时间: 2016-12-7 18:25
不行啊,挂了SS还是403
作者: miniloop    时间: 2016-12-7 18:28
junhan 发表于 2016-12-7 18:25
不行啊,挂了SS还是403

我代码里wp-login.php也禁了,除了自己其它ip不能登录。
如果你需要其他人登录的话,代码要改的。
作者: HXS    时间: 2016-12-7 18:29
这样行吗? http://hxs.fd.fj.cn/wp-admin/
作者: junhan    时间: 2016-12-7 18:32
本帖最后由 junhan 于 2016-12-7 18:36 编辑
miniloop 发表于 2016-12-7 18:28
我代码里wp-login.php也禁了,除了自己其它ip不能登录。
如果你需要其他人登录的话,代码要改的。 ...


IP改成我的VPS的,,就我自己挂VPS SS访问不行
作者: miniloop    时间: 2016-12-7 18:34
HXS 发表于 2016-12-7 18:29
这样行吗? http://hxs.fd.fj.cn/wp-admin/

不用全路径,$request_uri是域名后面 之后的url
作者: miniloop    时间: 2016-12-7 18:35
junhan 发表于 2016-12-7 18:32
IP改成我的VPS的,,就我自己挂VPS SS访问不行,是不是要V/PN?


我就是挂的ss,指定这个ss的ip就行了,除了这个ip其它ip都不能登录后台了
作者: junhan    时间: 2016-12-7 18:41
miniloop 发表于 2016-12-7 18:35
我就是挂的ss,指定这个ss的ip就行了,除了这个ip其它ip都不能登录后台了 ...

那你是用的NGINX吗?我是NGINX的

其实NGINX还有更简单的指定IP访问目录啊

                location ~ ^/(目录)/ {
                         allow 允许的IP;
                         allow 允许的IP;
                         deny all;
                         ......


关键是这个IP,如果用V/PN就可以,用SS就不行
作者: iiix    时间: 2016-12-7 18:42
我安装的 云锁 ,比较 智能一点!
作者: miniloop    时间: 2016-12-7 18:43
junhan 发表于 2016-12-7 18:41
那你是用的NGINX吗?我是NGINX的

其实NGINX还有更简单的指定IP访问目录啊

我用的是nginx,代理用的ss



欢迎光临 全球主机交流论坛 (https://52.ht/) Powered by Discuz! X3.4