Dịch vụ sửa máy tính pc laptop máy in - Nạp mực máy in Trường Tín Tphcm
Dịch vụ sửa máy tính pc laptop máy in - Nạp mực máy in Trường Tín Tphcm

10 quy tắc Nginx để tăng cường bảo mật WordPress

--
Web Tin Học Trường Tín có bài: 10 quy tắc Nginx để tăng cường bảo mật WordPress Khi hàng ngàn trang web chạy trên Nginx, một số mẹo cơ bản hoặc quy tắc Nginx đã được thu thập để tăng cường bảo mật trang web WordPress. Hãy cùng Tin Học Trường Tín xem xét ngay sau đây!

Cho đến nay, WordPress là CMS phổ biến nhất với hơn 30% thị phần web. Với con số thị phần như vậy, WordPress thường trở thành mục tiêu của các mối dọa dẫm bảo mật. Vì vậy, đối với chủ sở hữu trang web WordPress, tốt hơn cả là bạn nên thi hành một số biện pháp để thắt chặt bảo mật cho trang web của mình.

Khi hàng nghìn trang web chạy trên Nginx, một số mẹo cơ bản hoặc quy tắc Nginx đã được thu thập để tăng cường bảo mật trang web WordPress. Hãy cùng Truongtin.top xem xét ngay sau đây!

10 quy tắc Nginx giúp bảo mật WordPress

  • 1. Hạn chế quyền truy cập XMLRPC
  • 2. Giới hạn các dòng yêu cầu
  • 3. Truy cập file PHP trực diện
  • 4. Dotfiles
  • 5. Ẩn phiên bản Nginx và PHP
  • 6. Tiêu đề bảo mật
  • 7. Chặn quyền truy cập thư mục con
  • 8. Giảm spam
  • 9. Giới hạn yêu cầu
  • 10. Vô hiệu hóa việc lập bản kê thư mục

1. Hạn chế quyền truy cập XMLRPC

Điểm cuối XMLRPC trong WordPress được dùng để làm cho phép một ứng dụng bên ngoài tương tác với dữ liệu WordPress. Ví dụ, nó có thể cấp phép thêm, tạo hoặc xóa một bài đăng. Tuy nhiên, XMLRPC cũng là một vectơ tấn công phổ biến, nơi kẻ tiến công cũng đều có thể thi hành các hoạt động đó mà chẳng cần sự cho phép. Tốt hơn cả là cấp phép yêu cầu XMLRPC từ IP được ủy quyền mà bạn tin tưởng, như sau:

  location ~* /xmlrpc.php$ { allow 172.0.1.1; deny all; }  

Sau khi thêm đoạn code trên, bạn sẽ thấy phản hồi mã lỗi 403 khi load xmlrpc.php trong trình duyệt.

2. Giới hạn các loại đòi hỏi

Hầu hết thời gian trang web chỉ có thể thi hành hai loại yêu cầu, nghĩa là GET để lấy dữ liệu từ trang web và POST để tải dữ liệu lên trang web. Giới hạn loại yêu cầu mà trang web có thể giải quyết chỉ hai điều ấy là một ý tưởng tốt.

  if ($request_method !~ ^(GET|POST)$ ) { return 444; }  

3. Truy cập file PHP trực tiếp

Nếu bằng phương pháp nào đó, một hacker đã thành công trong việc truy cập file PHP vào trang web, thì chúng sẽ cũng có thể chạy file này bằng cách load file, có hiệu quả trở thành backdoor để xâm nhập vào trang web đó. Bạn nên vô hiệu hóa quyền truy cập trực tiếp vào bất kỳ file PHP nào bằng phương pháp thêm các quy tắc sau:

  location ~* /(?:uploads|files|wp-content|wp-includes|akismet)/.*.php$ { deny all; access_log off; log_not_found off; }  

4. Dotfiles

Tương tự như file PHP, một dotfile như . htaccess,. user.ini . git có thể chứa thông tin nhạy cảm. Để an toàn hơn, tốt hơn hết là bạn nên vô hiệu hóa quyền truy cập trực diện vào các file này.

  location ~ /.(svn|git)/* { deny all; access_log off; log_not_found off; } location ~ /.ht { deny all; access_log off; log_not_found off; } location ~ /.user.ini { deny all; access_log off; log_not_found off; }  

5. Ẩn phiên bản Nginx và PHP

Một số tin tức tốt nhất không nên được bật mí như phiên bản Nginx cũng như phiên bản PHP. Bản thân điều đó sẽ không ngăn chặn cuộc tấn công. Tuy nhiên, giả sử phiên bản Ningx hoặc PHP cụ thể có lỗ hổng bị lộ, kẻ tiến công sẽ không nhận biết đơn giản từ trang web. Để ẩn phiên bản Nginx, hãy làm như sau:

  #Hide the nginx version. server_tokens off; #Hide the PHP version. fastcgi_hide_header X-Powered-By; proxy_hide_header X-Powered-By;  

6. Tiêu đề bảo mật

Các tiêu đề bảo mật cung cấp thêm 1 lớp bảo mật bằng cách ra lệnh cho hành vi của trình duyệt. Ví dụ, X-Frame-Options sẽ ngăn trang web load từ một iframe, trừ khi nó xuất phát từ trang web của chính bạn. Strict-Transport-Security sẽ buộc trình duyệt load trang web từ HTTPS.

  add_header X-Frame-Options SAMEORIGIN; add_header Strict-Transport-Security "max-age=31536000"; add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection "1; mode=block";  

7. Chặn quyền truy cập thư mục con

Nếu trang web chạy trên một thư mục con như /blog, thì tốt hơn là cho phép truy cập vào thư mục con này. Điều đó có nghĩa là mọi quyền truy cập mờ ám vào các thư mục khác mà kẻ tấn công luôn tìm kiếm, ví dụ, /82jdkj/?.php đều bị chặn.

  location ~ ^/(?!(blog)/?) { deny all; access_log off; log_not_found off; }  

8. Giảm spam

Bình luận spam, mặc dù cũng có thể không phá vỡ trang web của bạn, nhưng sẽ làm tràn ngập cơ sở dữ liệu với nội dung rác hoặc nội dung độc hại, cũng có thể có thể tận dụng như một vectơ. Để giảm các mục spam, bạn có thể thêm những quy tắc sau vào cấu hình Nginx cùng theo với plugin bảo quản Spam như Akismet.

  set $comment_flagged 0; set $comment_request_method 0; set $comment_request_uri 0; set $comment_referrer 1; if ($request_method ~ "POST"){ set $comment_request_method 1; } if ($request_uri ~ "/wp-comments-post.php$"){ set $comment_request_method 1; } if ($http_referer !~ "^https?://(([^/]+.)?site.com|jetpack.wordpress.com/jetpack-comment)(/|$)"){ set $comment_referrer 0; } set $comment_flagged "${comment_request_method}${comment_request_uri}${comment_referrer}"; if ($comment_flagged = "111") { return 403; }  

9. Giới hạn yêu cầu

Trang đăng nhập WordPress, wp-login.php, là điểm cuối chung cho một cuộc tấn công brute-force. Kẻ tấn công sẽ cố gắng “hạ gục” trang web bằng cách gửi nhiều phối hợp tên người dùng và mật khẩu. Điều này thường được thực hành nhiều đợt trong 1 giây.

Đối với điều này, bạn có thể áp dụng quy tắc giới hạn số lượng yêu cầu mà trang có thể giải quyết mỗi giây. Ở đây, tỉ dụ đặt giới hạn là 2 đòi hỏi mỗi giây. Nếu không, yêu cầu sẽ bị chặn.

  limit_req_zone $binary_remote_addr zone=WPRATELIMIT:10m rate=2r/s; location ~ wp-login.php$ { limit_req zone=WPRATELIMIT; }  

10. Vô hiệu hóa việc lập bản kê thư mục

Cuối cùng nhưng không thua phần quan trọng, bạn nên vô hiệu hóa việc lập danh sách thư mục để kẻ tiến công không nhận hiểu rằng những gì trong thư mục. Có rất ít lý do mà việc lập danh sách thư mục có ích trên trang web WordPress.

  autoindex off;  

Nginx, WordPress, quy tắc Nginx, tăng cường bảo mật WordPress, quy tắc Nginx để tăng cường bảo mật WordPress, bảo mật WordPress

Nội dung 10 quy tắc Nginx để tăng cường bảo mật WordPress được tổng hợp sưu tầm biên tập bởi: Tin Học Trường Tín. Mọi ý kiến vui lòng gửi Liên Hệ cho truongtin.top để điều chỉnh. truongtin.top tks.

Bài Viết Liên Quan


Xếp Hạng post

Bài Viết Khác

--