WordPress网站使用nginx服务器,该如何确保安全?

首页 » 经验教程 » WordPress网站使用nginx服务器,该如何确保安全?

WordPress 可以运行在 Apache 或 Nginx 环境中,今天只讨论Nginx。它是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。听上去Nginx是如此美妙,所以很多人喜欢它。那么你需要知道如何提高Nginx服务器安全性,稳定性和性能。

修改文件夹目录权限

如果使用宝塔面板控制的话,直接就可以在宝塔后台设置,不需要使用命令,可以或略掉这一步。最后更改文件所有人和组需要根据 nginx.conf 的设置来,有的是 www-data,有的是 nginx ,可自定义,一般网站目录都是www。

sudo chmod 755 www

更改 www 目录为755权限

sudo find www -type d -exec chmod 755 {} \;

更改www目录下的所有文件夹为755权限

sudo find www -iname "*.php" -exec chmod 644 {} \;

更改www目录下的所有php文件为644权限

sudo chown -R www-data:www-data www

更改 www 目录及目录下所有文件的所有者为www-data,组为 www-data

隐藏Nginx和PHP版本

最好不要对外公开Nginx以及PHP版本,如果特定的Ningx或PHP版本暴露出漏洞,攻击者又发现你的服务器上的存在对应的漏洞版本,那可能就很危险了。以下规则可以隐藏Nginx和PHP版本:

    #隐藏 nginx 版本.
    server_tokens off;
     
    #隐藏 PHP 版本
    fastcgi_hide_header X-Powered-By;
    proxy_hide_header X-Powered-By;

重启生效

限制最大连接数

在http模块内,server模块外设置limit_conn_zone,可以设置连接的IP。在http,server或location模块设置limit_conn,可以设置IP的最大连接数。参考:

    limit_conn_zone $binary_remote_addr zone=one:5m;
    location / {
      limit_conn one 1;  #这将指定一个地址只能同时存在一个连接。“one”与上面的对应,也可以自定义命名
      limit_rate 300k;
  }

限制请求

WordPress登录页面wp-login.php是暴力攻击的常见端点。攻击者会尝试通过批量提交用户名和密码组合进行登录尝试,可能无法破解你的密码,但是对服务器资源占用非常大,可能会导致网站无法访问。为此,我们可以应用一个规则来限制页面每秒可以处理的请求数。这里我们将限制设置为每秒2个请求,超过次数的请求将被阻止。不知道是否防CC

 limit_req_zone $binary_remote_addr zone=WPRATELIMIT:10m rate=2r/s;
    location ~ \wp-login.php$ {
     limit_req zone=WPRATELIMIT;
    }

参数的具体含义,可参考:https://www.cnblogs.com/pengyunjing/p/10662612.html

设置缓冲区容量上限

这样的设置可以阻止缓冲区溢出攻击(同样是Server模块).设置后,不管多少HTTP请求都不会使服务器系统的缓冲区溢出了。

 client_body_buffer_size 1k;
    client_header_buffer_size 1k;
    client_max_body_size 1k;
    large_client_header_buffers 2 1k;

限制访问XMLRPC

WordPress中的XMLRPC端点(根目录下的xmlrpc.php文件)用于允许外部应用程序与WordPress数据交互。例如,它可以允许添加、创建或删除文章。但是,XMLRPC也是一种常见的攻击媒介,攻击者可以在未经授权的情况下执行这些操作。所以最好允许从您信任的授权IP请求XMLRPC,比方说我们的Python就可以通过xmlrpc来控制发布文章。

    location ~* /xmlrpc.php$ {
     allow 172.0.1.1;
     deny all;
    }

添加上述内容后,应该在浏览器中访问 xmlrpc.php 时会看到403错误响应代码。

禁掉不需要的 HTTP 方法-限制请求类型

大多数情况下,您的网站可能只执行两种类型的请求:

  • GET – 从你的网站上检索数据
  • POST – 将数据提交到你的网站
  • HEAD – 未知….

所以,只允许我们的网站执行这两种请求类型,也是增强安全性的做法。

  if ($request_method !~ ^(GET|POST|HEAD)$ ) {
     return 444;
    }

禁止直接访问PHP文件

在神不知鬼不觉的情况下,黑客可能会将PHP文件上传到你的服务器中,然后通过访问该恶意文件执行某些操作,即可在你的网站上创建后门。所有我们应该禁止直接访问任何php文件:

  location ~* /(?:uploads|files|wp-content|wp-includes|akismet)/.*.php$ {
     deny all;
     access_log off;
     log_not_found off;
    }

禁止访问某些敏感文件

和PHP文件相似,以点开头的文件,比如 .htaccess、.user.ini以及.git可能包含敏感信息。为了更安全,最好禁用对这些文件的直接访问。

 location ~ /\.(svn|git)/* {
     deny all;
     access_log off;
     log_not_found off;
    }
    location ~ /\.ht {
     deny all;
     access_log off;
     log_not_found off;
    }
    location ~ /\.user.ini { 
     deny all; 
     access_log off;
     log_not_found off;
    }

安全标头

安全标头( header )通过指示浏览器行为提供额外的安全层。例如,X-Frame-Options,可以防止你的网站被嵌入到iframe框架中进行加载。而Strict-Transport-Security会让浏览器采用HTTPS方式加载站点。

   add_header X-Frame-Options SAMEORIGIN;
    add_header Strict-Transport-Security "max-age=31536000";
    add_header X-Content-Type-Options nosniff;
    add_header X-XSS-Protection"1; mode=block";

阻止访问子目录

如果你的网站在子目录上运行,例如/blog,则最好允许访问此子目录。这意味着,其他类似子目录的访问结构,例如, /82jdkj/?.php 将是攻击者经常试图访问的目标,所以我们就应该将 /blog 以外的子目录限制访问。

   location ~ ^/(?!(blog)/?) { 
     deny all;
     access_log off;
     log_not_found off;
    }

减少垃圾评论

垃圾评论可能不会破坏你的网站,但它会使你的数据库中写入这些垃圾内容,从而作为广告推广。要减少垃圾评论内容,您可以将以下规则添加到Nginx配置以及像Akismet这样的垃圾评论防护插件。

 set $comment_flagged 0;
    set $comment_request_method 0;
    set $comment_request_uri 0;
    set $comment_referrer 1;
     
    if ($request_method ~ "POST"){
     set $comment_request_method 1;
    }
     
    if ($request_uri ~ "/wp-comments-post\.php$"){
     set $comment_request_method 1;
    }
     
    if ($http_referer !~ "^https?://(([^/] \.)?site\.com|jetpack\.wordpress\.com/jetpack-comment)(/|$)"){
     set $comment_referrer 0;
    }
     
    set $comment_flagged "${comment_request_method}${comment_request_uri}${comment_referrer}";
    if ($comment_flagged = "111") {
     return 403;
    }

禁用目录列表

最后一点也非常重要,你应该禁用目录列表,以便攻击者无法知道目录中的内容

autoindex off;

所有的配置修改可直接在nginx.conf中修改

未经允许不得转载:作者:鳄鱼君, 转载或复制请以 超链接形式 并注明出处 鳄鱼君
原文地址:《WordPress网站使用nginx服务器,该如何确保安全?》 发布于2020-03-10

分享到:
赞(2) 赏杯咖啡

评论 1

3 + 7 =
  1. #1

    nginx配套waf防火墙就行了,会自动判断一些恶意的行为!

    杜老师说5个月前 (07-02)回复

文章对你有帮助可赏作者一杯咖啡

支付宝扫一扫打赏

微信扫一扫打赏

Vieu4.6主题
专业打造轻量级个人企业风格博客主题!专注于前端开发,全站响应式布局自适应模板。
切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

Q Q 登 录
微 博 登 录
切换登录

注册