AdvertCN - 广告中国

 找回密码
 立即注册

QQ登录

只需一步,快速开始

Binom
 谷歌+Bing+TT+MSN官方代理 
⚡️按条S5代理⚡️静态⚡️独享⚡️5G⚡️最干净<Wifi住宅+5G移动>IP代理指纹浏览器,就用AdsPower
Mediabuy⚡️玩家开户首选【鲁班跨境通-自助充值转账】FB/GG/TT❤️官方免费开户Affiliate 全媒体流量资源⚡️
Taboola/Outbrain /Bing⚡️一级代理开户投流-7*24h❤️人工在线【官方】❤️搜索套利广告开户独立站⚡️开户投放
DuoPlus专注打造跨境电商云手机E.PN 虚拟卡BINOM TRACKER 60% OFF!比Adplexity还好用的Spy工具
MediaGo+Taboola+Ob开户百度国际MediaGo⚡️让产品狂奔全球百度国际,高点击转化,快速放量百度国际MediaGo,独家原生流量
ADPLEXITY + ADVERTCN7200W全球动态不重复住宅IP代理虚拟信用卡+独立站收款全球虚拟卡, 支持U充值
Facebook 批量上广告尤里改 - FB 稳定投放免费黑五教程(持续更新、欢迎交流)FB 三不限源头 - 自助下户充值转款
各种主页、账单户、BM户(优势)⚡️个人户,bm户不限额,账单户一手BM分享户不限额9Proxy ⚡️ $0.04/IP, 无限带宽
FB二三解0.1元一个虚拟卡|PTM星际卡FB专用虚拟卡Google、Bing官方总代  联盟流量开户
FB账号资源/稳定靠谱/运行5年啦FB开户代投/三不限/白名单fb耐用号0.01一个fb账号官方合作商
广告位出租   
查看: 8957|回复: 14

[Wordpress] WP 网站安全防护建议

[复制链接]

94

主题

2081

广告币

2960

积分

高级会员

Rank: 4

积分
2960

社区QQ达人

发表于 2021-2-27 14:19:53 | 显示全部楼层 |阅读模式
本帖最后由 sead 于 2021-2-27 14:34 编辑

以前还是一个PHP 菜鸟码农时,建站被黑客入简直无计可施,之后入手了鸟哥的linux书籍开始了简单的运维之路。
最开始服务器环境用的一键搭建的面板,最后到生敲命令行,踩坑无数。

由于sql 注入 脱裤基本是无解的,我这里主要建议设置最后一道防线,防止整站被脱。

权限限制是最安全的策略,只要做好目录策略,就能免疫上传类型漏洞,防止被拿到webshell。

1. 尽量别安装后台code 执行插件,如果有安装?那么拿到管理权限后一样game over.
2. 目录可写权限:存放静态文件夹和缓存文件夹 ,关闭PHP执行权限 (.htaccess可做到)
3. 了解当前执行用户是谁?比如apache user是默认PHP执行用户,那么为了限制权限,把整个项目先改成apache之外的用户/属组,再开放需要写权限的目录。

###使用 root 用户操作

##先来一棒一船遭殃SH代码
  1. find wordpress -type d | xargs chmod 755  
  2. chown  root:root wordpress -R #这里也可设定成sh其他用户(非php执行用户是前提),方便使用上传管理工具。
复制代码


##下面开始按需解救 -- 具体根据当前网站的目录情况,以下是常用的两个目录
  1. chown apache:apache  wordpress/wp-content/uploads/   -R
  2. chown apache:apache wordpress/wp-content/cache/  -R
复制代码


## 建测试文件, 防火墙规则原因: ?是全角字符
  1. vi wordpress/wp-content/uploads/test.php
  2. <?php
  3. echo "OK";
复制代码

##查看header状态
  1. curl -I https://www.xxx.com/wp-content/uploads/test.php #状态码此时应为200
复制代码


## .htaccess 执行代码限制

  1. vi wordpress/wp-content/uploads/.htaccess
复制代码
Options -Indexes
<FilesMatch "\.(php|cgi|py)$">
    Order Deny,Allow
    Deny from all
</FilesMatch>

## 复制文件到缓存目录

  1. cp wordpress/wp-content/uploads/.htaccess  wordpress/wp-content/cache/
复制代码


##再次查看header状态
  1. curl -I https://www.xxx.com/wp-content/uploads/test.php #状态码此时应为403
复制代码




##后续更新升级 ----- 打开权限#虽然有点麻烦,总比入侵补救强,到了那时就等着抓狂吧

  1. chown apache:apache /wordpress -R
复制代码


##升级后一定记得关闭权限

  1. chown root:root wordpress -R
  2. chown apache:apache  wordpress/wp-content/uploads/   -R
  3. chown apache:apache  wordpress/wp-content/cache/  -R
复制代码



##锁.htaccess (关键设置)

  1. chown root:root wordpress/wp-content/cache/.htaccess
  2. chown root:root wordpress/wp-content/uploads/.htaccess
复制代码


使用面板管理的,暂时不了解面板工作机制,没有特殊的用户文件权限自动恢复,一般也适用。
另外面板的权限太大,一旦出0day基本全军覆灭,这就是我不要面板的原因。


如有不足,欢迎拍砖补充和指导;




评分

参与人数 2广告币 +20 收起 理由
newder + 10
朝阳风雨 + 10 赞一个!

查看全部评分

相关帖子
回复

使用道具 举报

10

主题

1029

广告币

1386

积分

高级会员

Rank: 4

积分
1386
发表于 2021-2-27 17:19:41 | 显示全部楼层
你为啥不开个英文技术blog,解释语言用翻译很快就可以搞定。
回复 支持 反对

使用道具 举报

1618

主题

2万

广告币

2万

积分

管理员

宇宙无敌河马天神

Rank: 9Rank: 9Rank: 9

积分
29619

社区QQ达人

发表于 2021-2-27 18:37:46 | 显示全部楼层
我一般用lnmp.org来做prod 环境

你的这些问题就都不是问题了
学会提问的艺术, 从小处入手, 忌大而空
AdvertCN电报群

我最喜欢用的工具
7200W全球动态不重复住宅IP代理
回复 支持 反对

使用道具 举报

94

主题

2081

广告币

2960

积分

高级会员

Rank: 4

积分
2960

社区QQ达人

 楼主| 发表于 2021-2-27 18:48:42 | 显示全部楼层
河小马 发表于 2021-2-27 18:37
我一般用lnmp.org来做prod 环境

你的这些问题就都不是问题了

nginx + PHP 没入过坑,只是个运维小菜鸟
回复 支持 反对

使用道具 举报

94

主题

2081

广告币

2960

积分

高级会员

Rank: 4

积分
2960

社区QQ达人

 楼主| 发表于 2021-2-27 21:05:24 | 显示全部楼层
易生挺 发表于 2021-2-27 17:19
你为啥不开个英文技术blog,解释语言用翻译很快就可以搞定。

英文实在太菜了,拿不出手。技术也一般,最多就是搬个砖~

手里还有个未完成的webapp,抽时间弄完看如何变现

#下面webapp是一个心结



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复 支持 反对

使用道具 举报

79

主题

3913

广告币

5668

积分

版主

Rank: 7Rank: 7Rank: 7

积分
5668

社区QQ达人

发表于 2021-2-27 21:29:51 | 显示全部楼层
sead 发表于 2021-2-27 21:05
英文实在太菜了,拿不出手。技术也一般,最多就是搬个砖~

手里还有个未完成的webapp,抽时间弄完看如何 ...

很久之前有种方式就是卖t-shirt,不知道现在还有没有。

点评

欧美还可以,国内整体行情不太行,但也有做的不错的  详情 回复 发表于 2021-2-27 23:19
回复 支持 反对

使用道具 举报

79

主题

3913

广告币

5668

积分

版主

Rank: 7Rank: 7Rank: 7

积分
5668

社区QQ达人

发表于 2021-2-27 21:32:42 | 显示全部楼层
网络安全我有惨痛的教训,去年年中我的一个新站被人入侵了一次,加了好多乱七八糟的东西,还有添加色文链接,而且有一些东西还隐藏的特别深。好久之后才发现还有没有删除的。

我建议是一定要改登录的页面,这个是最基本的。

点评

权限没设定好,查后门是很痛苦的,留得很隐蔽,非专业牛人难根除,跟牛皮癣一样难治。  详情 回复 发表于 2021-2-27 23:14
回复 支持 反对

使用道具 举报

30

主题

452

广告币

573

积分

中级会员

Rank: 3Rank: 3

积分
573

社区QQ达人

发表于 2021-2-27 22:13:29 | 显示全部楼层
密码设置的要复杂一点,每天都有人暴力破解。
回复 支持 反对

使用道具 举报

94

主题

2081

广告币

2960

积分

高级会员

Rank: 4

积分
2960

社区QQ达人

 楼主| 发表于 2021-2-27 23:14:03 | 显示全部楼层
朝阳风雨 发表于 2021-2-27 21:32
网络安全我有惨痛的教训,去年年中我的一个新站被人入侵了一次,加了好多乱七八糟的东西,还有添加色文链接 ...

权限没设定好,查后门是很痛苦的,留得很隐蔽,非专业牛人难根除,跟牛皮癣一样难治。
回复 支持 反对

使用道具 举报

94

主题

2081

广告币

2960

积分

高级会员

Rank: 4

积分
2960

社区QQ达人

 楼主| 发表于 2021-2-27 23:17:13 | 显示全部楼层
本帖最后由 sead 于 2021-2-27 23:18 编辑

----------
回复 支持 反对

使用道具 举报

94

主题

2081

广告币

2960

积分

高级会员

Rank: 4

积分
2960

社区QQ达人

 楼主| 发表于 2021-2-27 23:19:32 | 显示全部楼层
朝阳风雨 发表于 2021-2-27 21:29
很久之前有种方式就是卖t-shirt,不知道现在还有没有。

欧美还可以,国内整体行情不太行,但也有做的不错的
回复 支持 反对

使用道具 举报

2

主题

839

广告币

1008

积分

中级会员

Rank: 3Rank: 3

积分
1008
发表于 2022-4-14 04:12:41 | 显示全部楼层
这个要Mark一下备用
回复 支持 反对

使用道具 举报

9

主题

660

广告币

843

积分

中级会员

Rank: 3Rank: 3

积分
843
发表于 2022-4-16 14:51:29 | 显示全部楼层
总结的不错 学习下
回复 支持 反对

使用道具 举报

31

主题

254

广告币

449

积分

中级会员

Rank: 3Rank: 3

积分
449
发表于 2023-4-12 09:27:06 | 显示全部楼层
为什么sql注入无解,注入式攻击穷途末路了

点评

不是不可防,可以过滤注入常用关键词,防火墙可以过滤,这块设置有点麻烦,具体没去研究。 就算注入,最多就是脱裤,锁了文件后注入时不能写执行文件。密码要是比较变态,跑彩虹表也是拿不到密码。  详情 回复 发表于 2023-4-12 10:23
回复 支持 反对

使用道具 举报

94

主题

2081

广告币

2960

积分

高级会员

Rank: 4

积分
2960

社区QQ达人

 楼主| 发表于 2023-4-12 10:23:03 | 显示全部楼层
虎鲸出海 发表于 2023-4-12 09:27
为什么sql注入无解,注入式攻击穷途末路了

不是不可防,可以过滤注入常用关键词,防火墙可以过滤,这块设置有点麻烦,具体没去研究。
就算注入,最多就是脱裤,锁了文件后注入时不能写执行文件。密码要是比较变态,跑彩虹表也是拿不到密码。  
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关于我们|联系我们|DMCA|广告服务|小黑屋|手机版|Archiver|Github|网站地图|AdvertCN

GMT+8, 2024-11-21 19:38 , Processed in 0.059353 second(s), 19 queries , Gzip On, MemCache On.

Copyright © 2001-2023, AdvertCN

Proudly Operating in Hong Kong.

快速回复 返回顶部 返回列表