搭建WordPress网站之前,请先配置 Nginx安全规则
Nginx安全规则 是在搭建WordPress网站之前,最先需要配置的,目前 WordPress 是最受欢迎的建站程序,它拥有超过30%的网络市场份额,这也导致了 WordPress 经常会成为安全威胁的目标。Nginx安全规则显得十分重要,因此,对于我们这些 WordPress 网站所有者来说,最好设置一些 Nginx安全规则 来加强网站的安全性。
WordPress 可以运行在 Apache 或 Nginx 环境中,今天我们将分享一些增强WordPress安全性的Nginx规则。
禁止下载以 XXX 后缀的文件
设置网站内禁止下载的文件扩展名,避免数据库等敏感文件被打包下载。
location ~ \.(zip|rar|sql|bak|gz|7z)$ { return 444; }
URL敏感字符跳转
URL访问链接中包含关键字一律跳转到网站首页,或者指向到404页面。
#url里含有test直接跳转到网站首页 if ($request_uri ~* test=) { return 301 https://www.uzbox.com; } #url中包含下列关键字,跳转到首页 if ($request_uri ~* "(\.gz)|(")|(\.tar)|(admin)|(\.zip)|(\.sql)|(\.asp)|(\.rar)|(function)|($_GET)|(eval)|(\?php)|(config)|(\')|(\.bak)") { return 301 https://www.uzbox.com;
防止恶意爬虫
屏蔽垃圾蜘蛛爬虫的nginx配置,你可以将垃圾爬虫的名称加入到下面屏蔽的规则中。
下面是一些爬虫的名称,仅供参考。
qihoobot|Censys|Baiduspider|Googlebot|Googlebot-Mobile|Googlebot-Image|Mediapartners-Google|Adsbot-Google|Feedfetcher-Google|Yahoo! Slurp|Yahoo! Slurp China|YoudaoBot|Sosospider|Sogou spider|Sogou web spider|MSNBot|ia_archiver|Tomato Bot|FeedDemon|JikeSpider|Indy Library|Alexa Toolbar|AskTbFXTV|AhrefsBot|CrawlDaddy|CoolpadWebkit|Java|Feedly|UniversalFeedParser|ApacheBench|Microsoft URL Control|Swiftbot|ZmEu|oBot|jaunty|Python-urllib|lightDeckReports Bot|YYSpider|DigExt|YisouSpider|Scrapy|HttpClient|MJ12bot|heritrix|EasouSpider|LinkpadBot|Ezooms
if ($http_user_agent ~* (SemrushBot|python|MJ12bot|AhrefsBot|AhrefsBot|hubspot|opensiteexplorer|leiki|webmeup)) { return 404; }
禁止非浏览器访问网站
#禁止非浏览器访问 if ($http_user_agent ~ ^$) { return 404; }
隐藏Nginx和PHP版本
最好不要对外公开Nginx以及PHP版本,如果特定的Ningx或PHP版本暴露出漏洞,攻击者又发现你的服务器上的存在对应的漏洞版本,那可能就很危险了。以下规则可以隐藏Nginx和PHP版本:
#隐藏 nginx 版本. server_tokens off; #隐藏 PHP 版本 fastcgi_hide_header X-Powered-By; proxy_hide_header X-Powered-By;
安全标头
安全标头( header )通过指示浏览器行为提供额外的安全层。例如,X-Frame-Options,可以防止你的网站被嵌入到iframe框架中进行加载。而Strict-Transport-Security会让浏览器采用HTTPS方式加载站点。
add_header X-Frame-Options SAMEORIGIN; add_header Strict-Transport-Security "max-age=31536000"; add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection "1; mode=block";
阻止访问子目录
如果你的网站在子目录上运行,例如/blog,应该将 /blog以外的子目录限制访问。
location ~ ^/(?!(blog)/?) { deny all; access_log off; log_not_found off; }
限制访问XMLRPC
WordPress中的XMLRPC端点(根目录下的xmlrpc.php文件)用于允许外部应用程序与WordPress数据交互。例如,它可以允许添加、创建或删除文章。但是,XMLRPC也是一种常见的攻击媒介,攻击者可以在未经授权的情况下执行这些操作。所以最好允许从您信任的授权IP请求XMLRPC,如下所示:
location ~* /xmlrpc.php$ { allow 172.0.1.1; deny all; }
添加上述内容后,应该在浏览器中访问 xmlrpc.php 时会看到403错误响应代码。
限制请求类型
大多数情况下,您的网站可能只执行两种类型的请求:
- GET – 从你的网站上检索数据
- POST – 将数据提交到你的网站
所以,只允许我们的网站执行这两种请求类型,也是增强安全性的做法。
if ($request_method !~ ^(GET|POST)$ ) { return 444; }
禁止直接访问PHP文件
在神不知鬼不觉的情况下,黑客可能会将PHP文件上传到你的服务器中,然后通过访问该恶意文件执行某些操作,即可在你的网站上创建后门。所有我们应该禁止直接访问任何php文件:
location ~* /(?:uploads|files|wp-content|wp-includes|akismet)/.*.php$ { deny all; access_log off; log_not_found off; }
禁止访问某些敏感文件
和PHP文件相似,以点开头的文件,比如 .htaccess、.user.ini以及.git可能包含敏感信息。为了更安全,最好禁用对这些文件的直接访问。
location ~ /\.(svn|git)/* { deny all; access_log off; log_not_found off; } location ~ /\.ht { deny all; access_log off; log_not_found off; } location ~ /\.user.ini { deny all; access_log off; log_not_found off; }
减少垃圾评论
垃圾评论可能不会破坏你的网站,但它会使你的数据库中写入这些垃圾内容,从而作为广告推广。要减少垃圾评论内容,您可以将以下规则添加到Nginx配置以及像Akismet这样的垃圾评论防护插件。
set $comment_flagged 0; set $comment_request_method 0; set $comment_request_uri 0; set $comment_referrer 1; if ($request_method ~ "POST"){ set $comment_request_method 1; } if ($request_uri ~ "/wp-comments-post\.php$"){ set $comment_request_method 1; } if ($http_referer !~ "^https?://(([^/]+\.)?site\.com|jetpack\.wordpress\.com/jetpack-comment)(/|$)"){ set $comment_referrer 0; } set $comment_flagged "${comment_request_method}${comment_request_uri}${comment_referrer}"; if ($comment_flagged = "111") { return 403; }
限制请求
WordPress登录页面wp-login.php是暴力攻击的常见端点。攻击者会尝试通过批量提交用户名和密码组合进行登录尝试,可能无法破解你的密码,但是对服务器资源占用非常大,可能会导致网站无法访问。
为此,我们可以应用一个规则来限制页面每秒可以处理的请求数。这里我们将限制设置为每秒2个请求,超过次数的请求将被阻止。
limit_req_zone $binary_remote_addr zone=WPRATELIMIT:10m rate=2r/s; location ~ \wp-login.php$ { limit_req zone=WPRATELIMIT; }
禁用目录列表
最后一旦也非常重要,你应该禁用目录列表,以便攻击者无法知道目录中的内容。
autoindex off;
总结
网站安全已经是SEO优化中非常重要的一环,一旦网站被黑客入侵,就可能导致网站打不开、访问速度变慢、被挂黑链等问题,而这些问题一出现就有可能被搜索引擎拉入黑名单,掌握最基础的网站安全防范知识是很有必要的。
最近刷搜索的太猖獗了