Post by account_disabled on Dec 10, 2023 21:42:44 GMT -6
我们的 open_basedir 限制不允许 PHP 在该目录之上执行 。好的事情是我们会处理这个问题!为了达到相同的效果,我们阻止对wp-login.php目录内的 访问~/public。我们的默认 Nginx 配置包含一条在任何访问尝试后返回 403 错误的规则wp-config.php。 2. 更新 WordPress 安全密钥 WordPress 安全密钥是一组随机变量,可提高用户 cookie 中存储信息的加密程度。自 WordPress 2.7 以来,出现了 4 个不同的键: AUTH_KEY、 SECURE_AUTH_KEY、 LOGGED_IN_KEY和 NONCE_KEY。 当您安装 WordPress 时,这些是为您随机生成的。但是,如果您已经经历过多次迁移(查看我们的最佳WordPress 迁移插件列表)或从其他人那里购买了网站,那么创建新的 WordPress 密钥可能会更好。
WordPress 实际上有一个免费工具,您可以使用它来 加拿大数据库 生成随机密钥。您可以更新存储在wp-config.php文件中的当前密钥。 WordPress 安全密钥 WordPress 安全密钥 阅读有关 WordPress 安全密钥的更多信息。 3. 更改权限 通常,WordPress 站点根目录中的文件将设置为 644,这意味着文件的所有者具有文件的读写权限,并且拥有该文件的组中的用户和其他任何人都具有读取权限。根据 WordPress 文档,该文件的权限wp-config.php应设置为 440 或 400,以防止服务器上的其他用户读取该文件。您可以使用FTP 客户端轻松更改此设置。 wp-config.php 权限 wp-config.php 权限 在某些托管平台上,权限可能会有所不同,因为运行 Web 服务器的用户没有写入文件的权限。如果您对此不确定,请咨询您的托管提供商。
禁用XML-RPC 近年来, XML -RPC 已成为 越来越大的 暴力攻击目标。正如 Sucuri 提到的,XML-RPC 的隐藏功能之一是您可以使用 system.multicall 方法在单个请求中执行多个方法。这非常有用,因为它允许应用程序在一个 HTTP 请求中传递多个命令。但也发生的情况是它被用于恶意目的。 有一些 WordPress 插件(例如Jetpack)依赖于 XML-RPC,但大多数人不需要它,并且简单地禁用对其的访问可能会有所帮助。不确定您的网站当前是否正在运行 XML-RPC?Automattic 团队的 Danilo Ercoli 编写了一个名为 XML-RPC Validator 的小工具。您可以通过它运行您的 WordPress 网站,看看它是否启用了 XML-RPC。
WordPress 实际上有一个免费工具,您可以使用它来 加拿大数据库 生成随机密钥。您可以更新存储在wp-config.php文件中的当前密钥。 WordPress 安全密钥 WordPress 安全密钥 阅读有关 WordPress 安全密钥的更多信息。 3. 更改权限 通常,WordPress 站点根目录中的文件将设置为 644,这意味着文件的所有者具有文件的读写权限,并且拥有该文件的组中的用户和其他任何人都具有读取权限。根据 WordPress 文档,该文件的权限wp-config.php应设置为 440 或 400,以防止服务器上的其他用户读取该文件。您可以使用FTP 客户端轻松更改此设置。 wp-config.php 权限 wp-config.php 权限 在某些托管平台上,权限可能会有所不同,因为运行 Web 服务器的用户没有写入文件的权限。如果您对此不确定,请咨询您的托管提供商。
禁用XML-RPC 近年来, XML -RPC 已成为 越来越大的 暴力攻击目标。正如 Sucuri 提到的,XML-RPC 的隐藏功能之一是您可以使用 system.multicall 方法在单个请求中执行多个方法。这非常有用,因为它允许应用程序在一个 HTTP 请求中传递多个命令。但也发生的情况是它被用于恶意目的。 有一些 WordPress 插件(例如Jetpack)依赖于 XML-RPC,但大多数人不需要它,并且简单地禁用对其的访问可能会有所帮助。不确定您的网站当前是否正在运行 XML-RPC?Automattic 团队的 Danilo Ercoli 编写了一个名为 XML-RPC Validator 的小工具。您可以通过它运行您的 WordPress 网站,看看它是否启用了 XML-RPC。