WP 网站安全防护建议

sead · 发表于 2021-2-27 14:19:53

本帖最后由 sead 于 2021-2-27 14:34 编辑

以前还是一个PHP 菜鸟码农时，建站被黑客入简直无计可施，之后入手了鸟哥的linux书籍开始了简单的运维之路。
最开始服务器环境用的一键搭建的面板，最后到生敲命令行，踩坑无数。

由于sql 注入脱裤基本是无解的，我这里主要建议设置最后一道防线，防止整站被脱。

权限限制是最安全的策略，只要做好目录策略，就能免疫上传类型漏洞，防止被拿到webshell。

1. 尽量别安装后台code 执行插件，如果有安装？那么拿到管理权限后一样game over.
2. 目录可写权限：存放静态文件夹和缓存文件夹，关闭PHP执行权限 (.htaccess可做到)
3. 了解当前执行用户是谁？比如apache user是默认PHP执行用户，那么为了限制权限，把整个项目先改成apache之外的用户/属组，再开放需要写权限的目录。

###使用 root 用户操作

##先来一棒一船遭殃SH代码

find wordpress -type d | xargs chmod 755
chown root:root wordpress -R #这里也可设定成sh其他用户(非php执行用户是前提)，方便使用上传管理工具。

复制代码

##下面开始按需解救 -- 具体根据当前网站的目录情况，以下是常用的两个目录

chown apache:apache wordpress/wp-content/uploads/ -R
chown apache:apache wordpress/wp-content/cache/ -R

复制代码

## 建测试文件, 防火墙规则原因: ？是全角字符

vi wordpress/wp-content/uploads/test.php
<？php
echo "OK";

复制代码

##查看header状态

curl -I https://www.xxx.com/wp-content/uploads/test.php #状态码此时应为200

复制代码

## .htaccess 执行代码限制

vi wordpress/wp-content/uploads/.htaccess

复制代码

Options -Indexes
<FilesMatch "\.(php|cgi|py)$">
Order Deny,Allow
Deny from all
</FilesMatch>

## 复制文件到缓存目录

cp wordpress/wp-content/uploads/.htaccess wordpress/wp-content/cache/

复制代码

##再次查看header状态

curl -I https://www.xxx.com/wp-content/uploads/test.php #状态码此时应为403

复制代码

##后续更新升级 ----- 打开权限#虽然有点麻烦，总比入侵补救强，到了那时就等着抓狂吧

chown apache:apache /wordpress -R

复制代码

##升级后一定记得关闭权限

chown root:root wordpress -R
chown apache:apache wordpress/wp-content/uploads/ -R
chown apache:apache wordpress/wp-content/cache/ -R

复制代码

##锁.htaccess （关键设置）

chown root:root wordpress/wp-content/cache/.htaccess
chown root:root wordpress/wp-content/uploads/.htaccess

复制代码

使用面板管理的，暂时不了解面板工作机制，没有特殊的用户文件权限自动恢复，一般也适用。
另外面板的权限太大，一旦出0day基本全军覆灭，这就是我不要面板的原因。

如有不足，欢迎拍砖补充和指导；

易生挺 · 发表于 2021-2-27 17:19:41

你为啥不开个英文技术blog，解释语言用翻译很快就可以搞定。

河小马 · 发表于 2021-2-27 18:37:46

我一般用lnmp.org来做prod 环境

你的这些问题就都不是问题了

sead · 发表于 2021-2-27 18:48:42

河小马发表于 2021-2-27 18:37
我一般用lnmp.org来做prod 环境

你的这些问题就都不是问题了

nginx + PHP 没入过坑，只是个运维小菜鸟

sead · 发表于 2021-2-27 21:05:24

易生挺发表于 2021-2-27 17:19
你为啥不开个英文技术blog，解释语言用翻译很快就可以搞定。

英文实在太菜了，拿不出手。技术也一般，最多就是搬个砖～

手里还有个未完成的webapp，抽时间弄完看如何变现

#下面webapp是一个心结

朝阳风雨 · 发表于 2021-2-27 21:29:51

sead 发表于 2021-2-27 21:05
英文实在太菜了，拿不出手。技术也一般，最多就是搬个砖～

手里还有个未完成的webapp，抽时间弄完看如何 ...

很久之前有种方式就是卖t-shirt，不知道现在还有没有。

朝阳风雨 · 发表于 2021-2-27 21:32:42

网络安全我有惨痛的教训，去年年中我的一个新站被人入侵了一次，加了好多乱七八糟的东西，还有添加色文链接，而且有一些东西还隐藏的特别深。好久之后才发现还有没有删除的。

我建议是一定要改登录的页面，这个是最基本的。

sure15 · 发表于 2021-2-27 22:13:29

密码设置的要复杂一点，每天都有人暴力破解。

sead · 发表于 2021-2-27 23:14:03

朝阳风雨发表于 2021-2-27 21:32
网络安全我有惨痛的教训，去年年中我的一个新站被人入侵了一次，加了好多乱七八糟的东西，还有添加色文链接 ...

权限没设定好，查后门是很痛苦的，留得很隐蔽，非专业牛人难根除，跟牛皮癣一样难治。

sead · 发表于 2021-2-27 23:17:13

本帖最后由 sead 于 2021-2-27 23:18 编辑

----------

sead · 发表于 2021-2-27 23:19:32

朝阳风雨发表于 2021-2-27 21:29
很久之前有种方式就是卖t-shirt，不知道现在还有没有。

欧美还可以，国内整体行情不太行，但也有做的不错的

老年自学编程 · 发表于 2022-4-14 04:12:41

这个要Mark一下备用

xmhaidao · 发表于 2022-4-16 14:51:29

总结的不错学习下

虎鲸出海 · 发表于 2023-4-12 09:27:06

为什么sql注入无解，注入式攻击穷途末路了

sead · 发表于 2023-4-12 10:23:03

虎鲸出海发表于 2023-4-12 09:27
为什么sql注入无解，注入式攻击穷途末路了

不是不可防，可以过滤注入常用关键词，防火墙可以过滤，这块设置有点麻烦，具体没去研究。
就算注入，最多就是脱裤，锁了文件后注入时不能写执行文件。密码要是比较变态，跑彩虹表也是拿不到密码。

		自动登录	找回密码
密码			立即注册

谷歌+Bing+TT+MSN官方代理	⚡️按条S5代理⚡️静态⚡️独享⚡️5G	需要代理IP?⚡️Proxysites.ai⚡️	指纹浏览器，就用AdsPower
Mediabuy⚡️玩家开户首选	【鲁班跨境通-自助充值转账】	FB/GG/TT❤️官方免费开户	Affiliate 全媒体流量资源⚡️
Taboola/Outbrain /Bing⚡️一级代理	*开户投流-724h❤️人工在线**	【官方】❤️搜索套利买量投流开户	独立站⚡️开户投放
FB BM不限额，短id账单户	E.PN 虚拟卡	DuoPlus专注打造跨境电商云手机	BINOM TRACKER 60% OFF!
比Adplexity还好用的Spy工具	ADPLEXITY + ADVERTCN	7200W全球动态不重复住宅IP代理	虚拟信用卡+独立站收款
全球虚拟卡, 支持U充值	Facebook 批量上广告	尤里改 - FB 稳定投放	免费黑五教程（持续更新、欢迎交流）
FB 三不限源头 - 自助下户充值转款	各种主页、账单户、BM户（优势）	⚡️个人户，bm户不限额，账单户	9Proxy ⚡️ $0.04/IP, 无限带宽
IPCola原生住宅IP⚡️$2.1/条双ISP	Google、Bing官方总代联盟流量开户	fb耐用号0.01一个	fb账号官方合作商
FB资源，账单户，分享户，国内一手	FB企业户BM户账单户源头	试试Mybid的顶级广告模式	Mybid让你的流量赚更多的钱
全球超2亿的动/静态纯净住宅IP	GeeLark 最强云手机+指纹浏览器	Facebook/TikTok24h免费开户服务	招exoclick/TJ等国际联盟代投运维
火云指纹浏览器⚡️10个环境免费⚡️	IPWO全球住宅代理⚡️免费测试⚡️	FB海外三不限-户源多费率低	谷歌+Bing+TT+MSN官方代理
广告位出租

[Wordpress] WP 网站安全防护建议

评分

点评

点评

本帖子中包含更多资源

点评

点评

点评

点评

浏览过的版块

社区QQ达人