龙空技术网

WordPress防火墙和Nginx安全设置

浅吟轻唱丫 376

前言:

现时看官们对“nginx404php”大概比较看重,看官们都想要知道一些“nginx404php”的相关知识。那么小编在网摘上网罗了一些有关“nginx404php””的相关资讯,希望各位老铁们能喜欢,你们一起来学习一下吧!

NO.1要求整改

看到这篇文章的同学,好好考虑微信公众号之类的平台吧,省心

自己搭建博客,不仅会被攻击,要续费,能独立部署维护,还要及时整改,避免安全漏洞等

我指的是已备案的网站

NO.2安全插件

推荐几个插件

WordfenceDisable REST API

一个是专业的安全插件,一个是去除未登录API的请求权限插件

按照的提示设置就行

NO.3中危漏洞

被扫描了,查到一个网站漏洞,具体不说了、

大致是一个用户信息枚举的API,WordPress的wp/v2/users

使用PHP禁用列出所有用户的路由

add_filter( 'rest_endpoints', function( $endpoints ){if ( isset( $endpoints['/wp/v2/users'] ) ) {unset( $endpoints['/wp/v2/users'] );    }    return $endpoints;});

可以写在自己的插件里(参考本文同期发布的WordPress插件设置)

错误URL

[]=/wp/v2/users

为了解决这个特点的问题

建议在Nginx配置中设置两个内容

一.把双杠换为单杠符号

https://xxx.com//->https://xxx.com/

Nginx代码

# 把双杠换为单杠merge_slashes off;rewrite (.*)//(.*) $1/$2 permanent;

二.指定参数正则匹配返回404

在Nginx location / 中添加

location /{    # 设置指定参数返回404    if ($query_string ~ "rest_route\[\]=(.*)") {    return 404;    }}

NO.4Tips

顺便提一下,无论是百度站长,搜狗站长,360站长

都需要在收录的时候提交备案号,身份证正反扫描件,手机号,微信号,邮箱等等的

网站也遇到过

网站被镜像复制(为了投简历加分或者其他爬虫原因?未知)DDoS 攻击(为知原因)域名厂商默默把域名解绑域名释放(被我发现,工单投诉找了回来,无赔偿,因为是小域名商)云服务器挂掉数据全无(就赔了两个月优惠券)备案服务器xx云续期(不续期,备案取消)网站漏洞扫描整改(结果待定)各种插件升级过期,各种不兼容各种奇奇怪怪的配置错误

自己搭建,就当做内容备份

END

标签: #nginx404php