由于互联网的开放性,在我们搭建完自己的网站之后,来自世界上任何地方的人(即IP)都可以访问我们的网站。但是,在正常的流量之外也不乏恶意的流量,这些恶意的流量有些利用了Wordpress中一些特有的链接来获取我们的管理员用户名,有些则利用wordpress中一个特殊的文件实现对我们管理员用户名及密码的暴力破解,为我们的服务器带来了大量的性能消耗,也产生了网站运维上的安全隐患,因此需要在宝塔面板中对这些设定进行限制。
一、进入网站的配置文件管理页面
①在宝塔面板中,点击左侧的“网站”,再点开需要设置安全防护的网站右侧的“设置”
②在弹出的界面中,点击左侧的“配置文件”
二、禁止访问xmlrpc.php
xmlrpc.php文件是什么?
为开发者提供远程发布端口,通过该文件开发者可以在多个渠道远程发布、编辑Wordpress网站中的文章
xmlrpc.php文件潜在的安全隐患?
恶意攻击者可以利用该文件暴力破解Wordpress管理员密码,不受错误次数限制
①将上图的“配置文件”编辑窗口拉到底,复制粘贴以下代码:
# 禁止xmlrpc
location = /xmlrpc.php
{
deny all;
}可参考下图位置:
三、禁止访问获取所有用户的用户名
为什么要禁止?
通过获取所有用户的用户名,恶意攻击者可以轻而易举地获取你的管理员用户名,极大地减小进入管理后台的难度
在上一步粘贴的代码下面,继续复制粘贴以下代码:
# 防止获取管理员用户名
location ~ ^/wp-json/wp/v2/users
{
deny all;
}可参考下图位置:
点击“保存”按钮,可以自行打开“https://你的域名/xmlrpc.php”及“https://你的域名/wp-json/wp/v2/users”进行验证,看看是不是已经403错误了
Comments NOTHING