Cho đến nay, WordPress là CMS phổ biến nhất với hơn 30% thị phần web. Với con số thị phần như vậy, WordPress thường trở thành mục tiêu của các mối dọa dẫm bảo mật. Vì vậy, đối với chủ sở hữu trang web WordPress, tốt hơn cả là bạn nên thi hành một số biện pháp để thắt chặt bảo mật cho trang web của mình.
Khi hàng nghìn trang web chạy trên Nginx, một số mẹo cơ bản hoặc quy tắc Nginx đã được thu thập để tăng cường bảo mật trang web WordPress. Hãy cùng Truongtin.top xem xét ngay sau đây!
10 quy tắc Nginx giúp bảo mật WordPress
- 1. Hạn chế quyền truy cập XMLRPC
- 2. Giới hạn các dòng yêu cầu
- 3. Truy cập file PHP trực diện
- 4. Dotfiles
- 5. Ẩn phiên bản Nginx và PHP
- 6. Tiêu đề bảo mật
- 7. Chặn quyền truy cập thư mục con
- 8. Giảm spam
- 9. Giới hạn yêu cầu
- 10. Vô hiệu hóa việc lập bản kê thư mục
1. Hạn chế quyền truy cập XMLRPC
Điểm cuối XMLRPC trong WordPress được dùng để làm cho phép một ứng dụng bên ngoài tương tác với dữ liệu WordPress. Ví dụ, nó có thể cấp phép thêm, tạo hoặc xóa một bài đăng. Tuy nhiên, XMLRPC cũng là một vectơ tấn công phổ biến, nơi kẻ tiến công cũng đều có thể thi hành các hoạt động đó mà chẳng cần sự cho phép. Tốt hơn cả là cấp phép yêu cầu XMLRPC từ IP được ủy quyền mà bạn tin tưởng, như sau:
location ~* /xmlrpc.php$ { allow 172.0.1.1; deny all; }
Sau khi thêm đoạn code trên, bạn sẽ thấy phản hồi mã lỗi 403 khi load xmlrpc.php trong trình duyệt.
2. Giới hạn các loại đòi hỏi
Hầu hết thời gian trang web chỉ có thể thi hành hai loại yêu cầu, nghĩa là GET để lấy dữ liệu từ trang web và POST để tải dữ liệu lên trang web. Giới hạn loại yêu cầu mà trang web có thể giải quyết chỉ hai điều ấy là một ý tưởng tốt.
if ($request_method !~ ^(GET|POST)$ ) { return 444; }
3. Truy cập file PHP trực tiếp
Nếu bằng phương pháp nào đó, một hacker đã thành công trong việc truy cập file PHP vào trang web, thì chúng sẽ cũng có thể chạy file này bằng cách load file, có hiệu quả trở thành backdoor để xâm nhập vào trang web đó. Bạn nên vô hiệu hóa quyền truy cập trực tiếp vào bất kỳ file PHP nào bằng phương pháp thêm các quy tắc sau:
location ~* /(?:uploads|files|wp-content|wp-includes|akismet)/.*.php$ { deny all; access_log off; log_not_found off; }
4. Dotfiles
Tương tự như file PHP, một dotfile như . htaccess,. user.ini và . git có thể chứa thông tin nhạy cảm. Để an toàn hơn, tốt hơn hết là bạn nên vô hiệu hóa quyền truy cập trực diện vào các file này.
location ~ /.(svn|git)/* { deny all; access_log off; log_not_found off; } location ~ /.ht { deny all; access_log off; log_not_found off; } location ~ /.user.ini { deny all; access_log off; log_not_found off; }
5. Ẩn phiên bản Nginx và PHP
Một số tin tức tốt nhất không nên được bật mí như phiên bản Nginx cũng như phiên bản PHP. Bản thân điều đó sẽ không ngăn chặn cuộc tấn công. Tuy nhiên, giả sử phiên bản Ningx hoặc PHP cụ thể có lỗ hổng bị lộ, kẻ tiến công sẽ không nhận biết đơn giản từ trang web. Để ẩn phiên bản Nginx, hãy làm như sau:
#Hide the nginx version. server_tokens off; #Hide the PHP version. fastcgi_hide_header X-Powered-By; proxy_hide_header X-Powered-By;
6. Tiêu đề bảo mật
Các tiêu đề bảo mật cung cấp thêm 1 lớp bảo mật bằng cách ra lệnh cho hành vi của trình duyệt. Ví dụ, X-Frame-Options sẽ ngăn trang web load từ một iframe, trừ khi nó xuất phát từ trang web của chính bạn. Strict-Transport-Security sẽ buộc trình duyệt load trang web từ HTTPS.
add_header X-Frame-Options SAMEORIGIN; add_header Strict-Transport-Security "max-age=31536000"; add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection "1; mode=block";
7. Chặn quyền truy cập thư mục con
Nếu trang web chạy trên một thư mục con như /blog, thì tốt hơn là cho phép truy cập vào thư mục con này. Điều đó có nghĩa là mọi quyền truy cập mờ ám vào các thư mục khác mà kẻ tấn công luôn tìm kiếm, ví dụ, /82jdkj/?.php đều bị chặn.
location ~ ^/(?!(blog)/?) { deny all; access_log off; log_not_found off; }
8. Giảm spam
Bình luận spam, mặc dù cũng có thể không phá vỡ trang web của bạn, nhưng sẽ làm tràn ngập cơ sở dữ liệu với nội dung rác hoặc nội dung độc hại, cũng có thể có thể tận dụng như một vectơ. Để giảm các mục spam, bạn có thể thêm những quy tắc sau vào cấu hình Nginx cùng theo với plugin bảo quản Spam như Akismet.
set $comment_flagged 0; set $comment_request_method 0; set $comment_request_uri 0; set $comment_referrer 1; if ($request_method ~ "POST"){ set $comment_request_method 1; } if ($request_uri ~ "/wp-comments-post.php$"){ set $comment_request_method 1; } if ($http_referer !~ "^https?://(([^/]+.)?site.com|jetpack.wordpress.com/jetpack-comment)(/|$)"){ set $comment_referrer 0; } set $comment_flagged "${comment_request_method}${comment_request_uri}${comment_referrer}"; if ($comment_flagged = "111") { return 403; }
9. Giới hạn yêu cầu
Trang đăng nhập WordPress, wp-login.php, là điểm cuối chung cho một cuộc tấn công brute-force. Kẻ tấn công sẽ cố gắng “hạ gục” trang web bằng cách gửi nhiều phối hợp tên người dùng và mật khẩu. Điều này thường được thực hành nhiều đợt trong 1 giây.
Đối với điều này, bạn có thể áp dụng quy tắc giới hạn số lượng yêu cầu mà trang có thể giải quyết mỗi giây. Ở đây, tỉ dụ đặt giới hạn là 2 đòi hỏi mỗi giây. Nếu không, yêu cầu sẽ bị chặn.
limit_req_zone $binary_remote_addr zone=WPRATELIMIT:10m rate=2r/s; location ~ wp-login.php$ { limit_req zone=WPRATELIMIT; }
10. Vô hiệu hóa việc lập bản kê thư mục
Cuối cùng nhưng không thua phần quan trọng, bạn nên vô hiệu hóa việc lập danh sách thư mục để kẻ tiến công không nhận hiểu rằng những gì trong thư mục. Có rất ít lý do mà việc lập danh sách thư mục có ích trên trang web WordPress.
autoindex off;
Nginx, WordPress, quy tắc Nginx, tăng cường bảo mật WordPress, quy tắc Nginx để tăng cường bảo mật WordPress, bảo mật WordPress
Nội dung 10 quy tắc Nginx để tăng cường bảo mật WordPress được tổng hợp sưu tầm biên tập bởi: Tin Học Trường Tín. Mọi ý kiến vui lòng gửi Liên Hệ cho truongtin.top để điều chỉnh. truongtin.top tks.
Bài Viết Liên Quan
Bài Viết Khác
- Sửa Wifi Tại Nhà Quận 4
- Cài Win Quận 3 – Dịch Vụ Tận Nơi Tại Nhà Q3
- Vệ Sinh Máy Tính Quận 3
- Sửa Laptop Quận 3
- Dịch Vụ Cài Lại Windows 7,8,10 Tận Nhà Quận 4
- Dịch Vụ Cài Lại Windows 7,8,10 Tận Nhà Quận 3
- Tuyển Thợ Sửa Máy Tính – Thợ Sửa Máy In Tại Quận 4 Lương Trên 10tr
- Tuyển Thợ Sửa Máy Tính – Thợ Sửa Máy In Tại Quận 3
- Top 10 Cửa Hàng Bán Máy Tính Cũ Gaming Ở Tại Quận Thủ Đức Tphcm
- Top 10 Cửa Hàng Bán Máy Tính Cũ Chơi Game Ở Tại Quận Thủ Đức Tphcm
- So sánh Snapdragon Phone và iQOO 8: Smartphone đầu tiên của Qualcomm liệu có “ngon”?
- Dịch Vụ Cài Lại Windows 7,8,10 Tại Nhà Quận Phú Nhuận Uy Tín – Chất Lượng
- Thợ Sửa Bồn Cầu Quận Bình Tân