我有两个网站在我自己的根服务器(ubuntu/nginx/php-fpm)上运行。现在我想再添加一个网站,一个 wordpress 博客。如您所知,wordpress 可能存在安全风险,这就是为什么我问自己如何将 wordpress 与其他网站“分开”。因此,当 wordpress 被黑客入侵时,我希望攻击者被困在 wordpress 中。如果他能比 wordpress 博客“看到更多”,那将是致命的。您有什么策略来保护网站免受彼此攻击?
【问题讨论】:
设置权限并创建单独的用户/组供网络服务器在运行 wordress 时使用,并使用 suexec 使用该用户/组权限运行 wordpress。请注意,您的其他网站甚至不应该被 wordpress 用户阅读。
【讨论】:
不幸的是,wordpress 上的一般人口普查是“当它被黑客入侵时”。但我想没有火就没有烟。
我认为创建正确的权限、用户/组等是一个很好的方法,但就个人而言,如果有预算,我建议将这些应用程序完全分离到不同的资源上。
考虑到 WordPress 漏洞利用的历史,我不会冒险将任何有价值的东西放在同一个盒子上。
【讨论】:
确保您设置了权限会有所帮助,但这并不一定能确保安全。
这也应该与许多其他修复一起使用。以下是其中的一些:
1) 更改 wp-admin 的网址
2) 调查并安装安全插件。有些会在 wordpress 使用它们之前清理 get 和 post。
3) 更改管理员用户的默认用户名。
4) 禁用允许上传文件的功能。确保上传的文件夹文件也是不可写的。
5) 您还可以使用 htaccess 保护 wp-admin 文件夹。
【讨论】: