今天给一个网站更换域名,重新安装了wordpress,现总结下安装后的安全设置。
一、使用WPS Hide Login更换admin登录链接。
二、设置禁止访问“/wp-json/wp/v2/users/”和“/wp-includes/wlwmanifest.xml”。
“二”是按照通义千问给的方法,很实用。方法是修改通过1Panel网站配置拦截。转载如下:
1. 登录 1Panel 面板。
2. 进入网站 (Websites) 列表。
3. 点击您要保护的WordPress网站右侧的配置(Config)按钮。
4. 点击左侧菜单的配置文件 (Config File)。
5. 在代码编辑区中,找到 server { ... } 块,在后面,也是 server 块与location / { ... } 之间,添加以下代码:
# 禁止访问 wp-json users 接口 (防止用户名枚举)
location ~* ^/wp-json/wp/v2/users {
return 403;
}
# 禁止访问 wlwmanifest.xml (防止暴露 WP 信息)
location ~* ^/wp-includes/wlwmanifest.xml {
return 403;
}
# (可选) 禁止访问 xmlrpc.php (如果您不使用离线博客工具,建议也封禁,这是暴力破解重灾区)
location = /xmlrpc.php {
return 403;
}
6. 点击保存 (Save)。
1Panel 会自动重载 OpenResty,配置立即生效。
此外,通义千问还推荐加入了这些设置,我也加入了。
# 禁止访问 readme.html, license.txt 等暴露版本信息的文件
location ~* ^/(readme|license|wp-config-sample)\.(html|txt|php)$ {
return 403;
}
# 禁止访问 .git 目录 (如果不小心上传了)
location ~ /\.git {
deny all;
return 404;
}
# 禁止访问 .env 文件 (极其重要,防止数据库密码泄露)
location ~ /\.env {
deny all;
return 404;
}