WordPress防火墙和Nginx安全设置 wordpress nginx apache

NO.1要求整改

看到这篇文章的同学，好好考虑微信公众号之类的平台吧，省心

自己搭建博客，不仅会被攻击，要续费，能独立部署维护，还要及时整改，避免安全漏洞等

我指的是已备案的网站

NO.2安全插件

推荐几个插件

1. Wordfence
2. Disable REST API

一个是专业的安全插件，一个是去除未登录API的请求权限插件

按照的提示设置就行

NO.3中危漏洞

被扫描了，查到一个网站漏洞，具体不说了、

大致是一个用户信息枚举的API，WordPress的wp/v2/users

使用PHP禁用列出所有用户的路由

add_filter( 'rest_endpoints', function( $endpoints ){
if ( isset( $endpoints['/wp/v2/users'] ) ) {
unset( $endpoints['/wp/v2/users'] );
    }    return $endpoints;
});

可以写在自己的插件里（参考本文同期发布的WordPress插件设置）

错误URL

https://xxx.com//?rest_route[]=/wp/v2/users

为了解决这个特点的问题

建议在Nginx配置中设置两个内容

一.把双杠换为单杠符号

https://xxx.com//->https://xxx.com/

Nginx代码

# 把双杠换为单杠
merge_slashes off;
rewrite (.*)//(.*) $1/$2 permanent;

二.指定参数正则匹配返回404

在Nginx location / 中添加

location /
{
    # 设置指定参数返回404
    if ($query_string ~ "rest_route\[\]=(.*)") {
    return 404;
    }
}

NO.4Tips

顺便提一下，无论是百度站长，搜狗站长，360站长

都需要在收录的时候提交备案号，身份证正反扫描件，手机号，微信号，邮箱等等的

网站也遇到过

1. 网站被镜像复制（为了投简历加分或者其他爬虫原因？未知）
2. DDoS 攻击（为知原因）
3. 域名厂商默默把域名解绑域名释放（被我发现，工单投诉找了回来，无赔偿，因为是小域名商）
4. 云服务器挂掉数据全无（就赔了两个月优惠券）
5. 备案服务器xx云续期（不续期，备案取消）
6. 网站漏洞扫描整改（结果待定）
7. 各种插件升级过期，各种不兼容各种奇奇怪怪的配置错误

自己搭建，就当做内容备份

END