安全使用wordpress的一点小技巧，dalao请无视哈

miniloop

用过wordpress的都知道，wordpress的wp-admin目录和wp-config.php文件无时不刻都在被各种ip扫描，
虽然可以修改默认名称提高安全，但是给以后升级和装themes会带来麻烦。
我方法是，用指定IP访问wp-admin目录和wp-config.php文件，其它一律返回403。
如果用的apache就很简单，直接添加.htaccess相关条件就可以了，用nginx的麻烦一点，在server节点下面添加如下语句：

1.     set $sec ' ';
   
2.     if ($request_uri ~* "^((/wp-admin)|(/wp-login))") {
   
3.         set $sec uri;
   
4.     }
   
5.     if ($remote_addr !~* ^111\.111\.111\.111.*){
   
6.        set $sec "${sec}Ip";
   
7.     }
   
8.     if ($sec = uriIp){
   
9.         return 403;
   
10.     }

复制代码

我用的是 nginx1.10.2， 其中，111.111.111.111是自己的ss的 ip，这样以后就只能挂ss才能访问后台了。
正常的浏览不受任何影响，只是要登录后台管理的时候才需要挂ss。
这个方法我已经用了一年多了，感觉还不错，现在共享给大家。

lsza

这个适用于所有带后台的站吧？没啥鸟用啊

BQQ

wp-config.php  php文件被扫描有什么用，能读取到里面的配置信息？如果php文件都能在客户端被读取到内容，那php也就完蛋了。

miniloop

BQQ 发表于 2016-12-7 18:00
wp-config.php  php文件被扫描有什么用，能读取到里面的配置信息？如果php文件都能在客户端被读取到内容， ...

你当他们扫描就是为了看文件？只要是可执行的，就会带各种参数去试运行，根据返回的报错信息再进行分析。

倾城翻翻

在防火墙上做防护就好，为什么要在WP文件上做？

BQQ

miniloop 发表于 2016-12-7 18:04
你当他们扫描就是为了看文件？只要是可执行的，就会带各种参数去试运行，根据返回的报错信息再进行分析。 ...

这个文件没必要可远程执行吧，感觉设置只让服务器本机读取即可，远程执行这个文件直接403

miniloop

BQQ 发表于 2016-12-7 18:08
这个文件没必要可远程执行吧，感觉设置只让服务器本机读取即可，远程执行这个文件直接403 ...

当然，所以我代码里是禁止的wp-login.php这个文件，因为我的wp不需要任何人登录除了我自己。

nic2013

嗯，这个不错的。

junhan

不行啊，挂了SS还是403