Новейший бесплатный сайт с китайскими фильмами за рубежом 2025 года, постоянно обновляемый, без рекламы, без членства, без задержек
SQLSTATE[22007]: Неверный формат даты и времени: 1366 Неверное строковое значение: '\xAC15\xE9\x9B\x86...' Решение
2025 CloudFlare Как настроить предпочтительный IP-адрес Бесплатный CDN для ускорения вашего сайта, ежемесячное распределение предпочтительного IP-адреса
Бесплатная загрузка полной версии Office — используйте программное обеспечение Microsoft Office всегда

Правила безопасности Nginx для SEO: улучшенная безопасность сайта WordPress

Правила безопасности Nginx — это первое, что необходимо настроить перед созданием сайта на WordPress. WordPress в настоящее время является самой популярной программой для создания сайтов, занимая более 30% рынка веб-разработок. Это делает WordPress частой мишенью для угроз безопасности. Правила безопасности Nginx чрезвычайно важны, поэтому владельцам сайтов на WordPress рекомендуется настроить некоторые правила безопасности Nginx для повышения безопасности своего сайта.

搭建WordPress网站之前,请先配置 Nginx安全规则

是在搭建网站之前,最先需要配置的,目前 WordPress 是最受欢迎的建站程序,它拥有超过30%的网络市场份额,这也导致了 WordPress 经常会成为安全威胁的目标。Nginx安全规则显得十分重要,因此,对于我们这些 WordPress 网站所有者来说,最好设置一些 Nginx安全规则 来加强网站的安全性。

WordPress 可以运行在 Apache 或 Nginx 环境中,今天我们将分享一些增强WordPress安全性的Nginx规则。

增强WordPress网站安全性的10个 Nginx安全规则-1

禁止下载以 XXX 后缀的文件

设置网站内禁止下载的文件扩展名,避免数据库等敏感文件被打包下载。

location ~ \.(zip|rar|sql|bak|gz|7z)$
{
return 444;
}

URL敏感字符跳转

URL访问链接中包含关键字一律跳转到网站首页,或者指向到404页面。

#url里含有test直接跳转到网站首页
if ($request_uri ~* test=) {
return 301 https://uzbox.com;
}

#url中包含下列关键字,跳转到首页
if ($request_uri ~* "(\.gz)|(")|(\.tar)|(admin)|(\.zip)|(\.sql)|(\.asp)|(\.rar)|(function)|($_GET)|(eval)|(\?php)|(config)|(\')|(\.bak)") {
return 301 https://uzbox.com;

防止恶意爬虫

屏蔽垃圾蜘蛛爬虫的nginx配置,你可以将垃圾爬虫的名称加入到下面屏蔽的规则中。

下面是一些爬虫的名称,仅供参考。

qihoobot|Censys|Baiduspider|Googlebot|Googlebot-Mobile|Googlebot-Image|Mediapartners-Google|Adsbot-Google|Feedfetcher-Google|Yahoo! Slurp|Yahoo! Slurp China|YoudaoBot|Sosospider|Sogou spider|Sogou web spider|MSNBot|ia_archiver|Tomato Bot|FeedDemon|JikeSpider|Indy Library|Alexa Toolbar|AskTbFXTV|AhrefsBot|CrawlDaddy|CoolpadWebkit|Java|Feedly|UniversalFeedParser|ApacheBench|Microsoft URL Control|Swiftbot|ZmEu|oBot|jaunty|Python-urllib|lightDeckReports Bot|YYSpider|DigExt|YisouSpider|Scrapy|HttpClient|MJ12bot|heritrix|EasouSpider|LinkpadBot|Ezooms

if ($http_user_agent ~* (SemrushBot|python|MJ12bot|AhrefsBot|AhrefsBot|hubspot|opensiteexplorer|leiki|webmeup)) {
return 404;
}

禁止非浏览器访问网站

#禁止非浏览器访问
if ($http_user_agent ~ ^$) {
return 404;
}

隐藏Nginx和PHP版本

最好不要对外公开Nginx以及PHP版本,如果特定的Ningx或PHP版本暴露出漏洞,攻击者又发现你的服务器上的存在对应的漏洞版本,那可能就很危险了。以下规则可以隐藏Nginx和PHP版本:

#隐藏 nginx 版本.
server_tokens off;

#隐藏 PHP 版本
fastcgi_hide_header X-Powered-By;
proxy_hide_header X-Powered-By;

安全标头

安全标头( header )通过指示浏览器行为提供额外的安全层。例如,X-Frame-Options,可以防止你的网站被嵌入到iframe框架中进行加载。而Strict-Transport-Security会让浏览器采用HTTPS方式加载站点.

add_header X-Frame-Options SAMEORIGIN;
add_header Strict-Transport-Security "max-age=31536000";
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";

阻止访问子目录

如果你的网站在子目录上运行,例如/blog,应该将 /blog以外的子目录限制访问。

location ~ ^/(?!(blog)/?) { 
    deny all;
    access_log off;
    log_not_found off;
}

限制访问XMLRPC

WordPress中的XMLRPC端点(根目录下的xmlrpc.php文件)用于允许外部应用程序与WordPress数据交互。例如,它可以允许添加、创建或删除文章。但是,XMLRPC也是一种常见的攻击媒介,攻击者可以在未经授权的情况下执行这些操作。所以最好允许从您信任的授权IP请求XMLRPC,如下所示:

location ~* /xmlrpc.php$ {
    allow 172.0.1.1;
    deny all;
}

添加上述内容后,应该在浏览器中访问 xmlrpc.php 时会看到403错误响应代码。

限制请求类型

大多数情况下,您的网站可能只执行两种类型的请求:

  • GET – 从你的网站上检索数据
  • POST – 将数据提交到你的网站

所以,只允许我们的网站执行这两种请求类型,也是增强安全性的做法。

if ($request_method !~ ^(GET|POST)$ ) {
    return 444;
}

禁止直接访问PHP文件

在神不知鬼不觉的情况下,黑客可能会将PHP文件上传到你的服务器中,然后通过访问该恶意文件执行某些操作,即可在你的网站上创建后门。所有我们应该禁止直接访问任何php文件:

location ~* /(?:uploads|files|wp-content|wp-includes|akismet)/.*.php$ {
    deny all;
    access_log off;
    log_not_found off;
}

禁止访问某些敏感文件

和PHP文件相似,以点开头的文件,比如 .htaccess、.user.ini以及.git可能包含敏感信息。为了更安全,最好禁用对这些文件的直接访问.

location ~ /\.(svn|git)/* {
    deny all;
    access_log off;
    log_not_found off;
}
location ~ /\.ht {
    deny all;
    access_log off;
    log_not_found off;
}
location ~ /\.user.ini { 
    deny all; 
    access_log off;
    log_not_found off;
}

减少垃圾评论

垃圾评论可能不会破坏你的网站,但它会使你的数据库中写入这些垃圾内容,从而作为广告推广。要减少垃圾评论内容,您可以将以下规则添加到Nginx配置以及像Akismet这样的垃圾评论防护插件。

set $comment_flagged 0;
set $comment_request_method 0;
set $comment_request_uri 0;
set $comment_referrer 1;
 
if ($request_method ~ "POST"){
    set $comment_request_method 1;
}
 
if ($request_uri ~ "/wp-comments-post\.php$"){
    set $comment_request_method 1;
}
 
if ($http_referer !~ "^https?://(([^/]+\.)?site\.com|jetpack\.wordpress\.com/jetpack-comment)(/|$)"){
    set $comment_referrer 0;
}
 
set $comment_flagged "${comment_request_method}${comment_request_uri}${comment_referrer}";
if ($comment_flagged = "111") {
    return 403;
}

限制请求

WordPress登录页面wp-login.php是暴力攻击的常见端点。攻击者会尝试通过批量提交用户名和密码组合进行登录尝试,可能无法破解你的密码,但是对服务器资源占用非常大,可能会导致网站无法访问.

为此,我们可以应用一个规则来限制页面每秒可以处理的请求数。这里我们将限制设置为每秒2个请求,超过次数的请求将被阻止。

limit_req_zone $binary_remote_addr zone=WPRATELIMIT:10m rate=2r/s;
location ~ \wp-login.php$ {
    limit_req zone=WPRATELIMIT;
}

禁用目录列表

最后一旦也非常重要,你应该禁用目录列表,以便攻击者无法知道目录中的内容。

autoindex off;

Подвести итог

网站安全已经是оптимизация中非常重要的一环,一旦网站被黑客入侵,就可能导致网站打不开、访问速度变慢、被挂黑链等问题,而这些问题一出现就有可能被搜索引擎拉入黑名单,掌握最基础的网站安全防范知识是很有必要的。

счет

Один комментарий

Ответить

Ваш адрес электронной почты не будет опубликован. Обязательные поля помечены *