系统状态 门户登录

Wordpress安全最佳做法 inux

推荐编辑

WordPressQQ是一个伟大的内容管理系统, 特别是如果你新写或编码不过
wordPress安装量高,WordPress成为攻击目标好消息是
多步安装WordPress安全

inux用户权限

WordPress新用户常见地设置权限宽开式(set777权限)
权限拒绝WordPress报错配置允许用户(最重要的是Web服务器处理程序)
修改WordPress安装文件锁住它,我们建议你为每个WordPress创建用户
安装文件传送协议用户网站文章假设你有一个网站
命名服务器wp用户.

使用下命令创建此用户 :

sdo用户dd/home/wp用户m-s/bin/false

注解:我们建议您只使用安全shell键认证计划使用密码验证fTP时,必须为用户创建强密码

设置权限

除网络服务系统用户外,你应造一个用户,即文档根主
网站并拒绝写权限 web服务web服务只需阅读权限服务内容
并分配写或执行权限留任外部向量攻击但由于WordPress必须是
能够上传文件并更新自身代码,你需要略微弯曲这些规则

举例说,你应该设置全目录所有权为wp-user:www-data.

设置表示wp用户拥有用户所有制网页数据系统用户Apacheweb服务器拥有群视操作系统而定,此用户也可能命名网站dache.用户使用nginx#nginx.设置权限运行下命令替换示例值/var/www/example.com/文档根网站

sudochow-Rw-user:www-data/var/www/example.com/

WordPress安装使用基权限

  • 755(drwxr-xr-x)文件夹
  • 644-r-r-r-r-

权限授予wp用户能力修改任何东西, web服务器只读访问

下示例显示如何分配这些权限

/var/www/example.com/-typed-execsudochmod755查找/var/www/example.com/-typef-execsudochmod 644

权限授予wp用户能力修改任何东西, web服务器只读访问平面平面
静态网站实践中有些文件WordPress必须能正确访问并执行函数上头
下表显示异常和权限设置,假设同文档根

  • 查找/var/www/example.com/wp-content/uploads-
  • 查找/var/www/example.com/wp-content/
  • 查找/var/www/example.com/wp-content/d类型
  • 查找/var/www/example.com/wp-content/plexins-typed-execs
  • 查找/var/www/example.com/wp-content/uploads-
  • 查找/var/www/example.com/wp-content/
  • 查找/var/www/example.com/wp-content/
  • 查找/var/www/example.com/wp-content/plugins-f-execs
  • sudochmod775/var/www/example.com/wp-config.ph

WordPress使用这些目录系统更新、主题插件更新和博客附加上传

WordPress管理员用户

LinuxQroot用户相似,WordPress安装带管理员用户.因为这是行政用户 几乎在每个WordPress安装中都存在 黑客攻击目标最容易关闭攻击向量的方法是清除管理员用户我们建议创建名称不同的用户,给予用户管理员特权,并删除管理员用户

安全更新

FTP固有安全性,尤其是使用密码验证时建立SSH键更新比使用密码安全得多使用下列步骤建立SSH密钥更新

  1. 确保系统安装必要的包Ubuntu或debian执行下列命令:

    sudoap-get更新
    sudoap-get安装php5dlibssh2phplibssh2-1dev

  2. 搭建SSH访问程序wp用户.因你禁止登录wp用户中,你必须
    使用下列sudo命令打开shell

    sudo-u wp用户/bin/bash

  3. 使用下列命令移动wp用户主目录并搭建SSH密钥

    sd~
    ssh-keygen-trsa-b4096
    mkdir-/sshcd~/.ssh
    ssh/id_rsa.pub>授权键
    退出

  4. 下一步使用下列命令确保正确设置权限:

    ssh/home/wp用户
    sudochmod040/home/wp用户/.ssh/*
    sudochmod644/home/wp用户/.ssh/授权键

  5. 添加下行到您的/var/www/example.com/wp-config.php文件 :

    define('FTP_PUBKEY','/home/wp-user/id_rsa.pub');
    define('FTP_PRIVKEY','/home/wp-user/id_rsa');
    define('FTP_USER','wp-user');
    define('FTP_PASS','');
    define('FTP_HOST','127.0.0.1:22');

WordPress插件和主题都可更新而不提示登录信息

插件插件

推荐少插件实现所期望的结果然而,我们建议使用
下插件增强安全

  • WP安全项目:全数插件有登录保护、恶意扫描器、二因子认证和防火墙等保护特征
  • 禁用XML-RPC:通过使用XML-RPC锁住.ht存取文件.除非有迫不得已的理由 需要远程控制WordPress安装 最好禁用它以防回击
  • qquoswordPress内置用户评分系统很容易垃圾邮件,建议禁止公开注册通过导航实现此设置 > 通用后不检查任何人都可以注册.并让用户验证他们的face++或Google

更新 约一个月前

Baidu
map