WP 网站安全防护建议
本帖最后由 sead 于 2021-2-27 14:34 编辑以前还是一个PHP 菜鸟码农时,建站被黑客入简直无计可施,之后入手了鸟哥的linux书籍开始了简单的运维之路。
最开始服务器环境用的一键搭建的面板,最后到生敲命令行,踩坑无数。
由于sql 注入 脱裤基本是无解的,我这里主要建议设置最后一道防线,防止整站被脱。
权限限制是最安全的策略,只要做好目录策略,就能免疫上传类型漏洞,防止被拿到webshell。
1. 尽量别安装后台code 执行插件,如果有安装?那么拿到管理权限后一样game over.
2. 目录可写权限:存放静态文件夹和缓存文件夹 ,关闭PHP执行权限 (.htaccess可做到)
3. 了解当前执行用户是谁?比如apache user是默认PHP执行用户,那么为了限制权限,把整个项目先改成apache之外的用户/属组,再开放需要写权限的目录。
###使用 root 用户操作
##先来一棒一船遭殃SH代码
find wordpress -type d | xargs chmod 755
chownroot:root wordpress -R #这里也可设定成sh其他用户(非php执行用户是前提),方便使用上传管理工具。
##下面开始按需解救 -- 具体根据当前网站的目录情况,以下是常用的两个目录
chown apache:apachewordpress/wp-content/uploads/ -R
chown apache:apache wordpress/wp-content/cache/-R
## 建测试文件, 防火墙规则原因: ?是全角字符
vi wordpress/wp-content/uploads/test.php
<?php
echo "OK";
##查看header状态
curl -I https://www.xxx.com/wp-content/uploads/test.php #状态码此时应为200
## .htaccess 执行代码限制
vi wordpress/wp-content/uploads/.htaccess
Options -Indexes
<FilesMatch "\.(php|cgi|py)$">
Order Deny,Allow
Deny from all
</FilesMatch>
## 复制文件到缓存目录
cp wordpress/wp-content/uploads/.htaccesswordpress/wp-content/cache/
##再次查看header状态
curl -I https://www.xxx.com/wp-content/uploads/test.php #状态码此时应为403
##后续更新升级 ----- 打开权限#虽然有点麻烦,总比入侵补救强,到了那时就等着抓狂吧
chown apache:apache /wordpress -R
##升级后一定记得关闭权限
chown root:root wordpress -R
chown apache:apachewordpress/wp-content/uploads/ -R
chown apache:apachewordpress/wp-content/cache/-R
##锁.htaccess (关键设置)
chown root:root wordpress/wp-content/cache/.htaccess
chown root:root wordpress/wp-content/uploads/.htaccess
使用面板管理的,暂时不了解面板工作机制,没有特殊的用户文件权限自动恢复,一般也适用。
另外面板的权限太大,一旦出0day基本全军覆灭,这就是我不要面板的原因。
如有不足,欢迎拍砖补充和指导;
你为啥不开个英文技术blog,解释语言用翻译很快就可以搞定。 我一般用lnmp.org来做prod 环境
你的这些问题就都不是问题了:lol 河小马 发表于 2021-2-27 18:37
我一般用lnmp.org来做prod 环境
你的这些问题就都不是问题了
nginx + PHP 没入过坑,只是个运维小菜鸟:lol 易生挺 发表于 2021-2-27 17:19
你为啥不开个英文技术blog,解释语言用翻译很快就可以搞定。
英文实在太菜了,拿不出手。技术也一般,最多就是搬个砖~
手里还有个未完成的webapp,抽时间弄完看如何变现
#下面webapp是一个心结 :lol
sead 发表于 2021-2-27 21:05
英文实在太菜了,拿不出手。技术也一般,最多就是搬个砖~
手里还有个未完成的webapp,抽时间弄完看如何 ...
很久之前有种方式就是卖t-shirt,不知道现在还有没有。 网络安全我有惨痛的教训,去年年中我的一个新站被人入侵了一次,加了好多乱七八糟的东西,还有添加色文链接,而且有一些东西还隐藏的特别深。好久之后才发现还有没有删除的。
我建议是一定要改登录的页面,这个是最基本的。 密码设置的要复杂一点,每天都有人暴力破解。 朝阳风雨 发表于 2021-2-27 21:32
网络安全我有惨痛的教训,去年年中我的一个新站被人入侵了一次,加了好多乱七八糟的东西,还有添加色文链接 ...
权限没设定好,查后门是很痛苦的,留得很隐蔽,非专业牛人难根除,跟牛皮癣一样难治。
本帖最后由 sead 于 2021-2-27 23:18 编辑
---------- 朝阳风雨 发表于 2021-2-27 21:29
很久之前有种方式就是卖t-shirt,不知道现在还有没有。
欧美还可以,国内整体行情不太行,但也有做的不错的 这个要Mark一下备用 总结的不错 学习下 为什么sql注入无解,注入式攻击穷途末路了 虎鲸出海 发表于 2023-4-12 09:27
为什么sql注入无解,注入式攻击穷途末路了
不是不可防,可以过滤注入常用关键词,防火墙可以过滤,这块设置有点麻烦,具体没去研究。
就算注入,最多就是脱裤,锁了文件后注入时不能写执行文件。密码要是比较变态,跑彩虹表也是拿不到密码。
页:
[1]
