使用360,和网络安全中心在线检测,能知道自己配置的服务器是否出现一些潜在的安全漏洞,挺不错的,其中主要检测常用网站系统出现的问题,通过这些检测出来的漏洞,给予相应的处理方式。
然后做好相应的修改和配置。
如:nginx+php+mysql配置的网站多数是要修改php.ini
如:wordpress的安全要修改的就多点,
1、不要使用默认的数据库wp_做为前缀
2、不要用admin作为管理账户,管理数据不要ID=1,可以新建一个同权的账户,并删除安装用户。
也可以将下面的代码添加到当前主题函数模板 functions.php 中,将 ID 为 1 的用户改为 ID 为 200 ,如我的用户注册到了199,哪修改为200。
刷新一下页面,看看是不是管理用户 ID 变成 200 了。修改后,记得将代码移除。

phpmyadmin操作:
先备份,将在wp_users表中将默认WordPress管理员用户标识从1更改为200。

将用户相关数据存储在wp_usermeta表中的默认WordPress管理员用户标识从1更改为200

批量修改文章的作者:

也可以将旧管理员的文章通过SQL直接转到新管理员ID名下(不修改的话,默认会变成无作者文章)。

3、删除install.php和upgrade.php
4、密码要复杂
5、主题启用文件编辑器
6、隐藏后台文件夹,改名或者加串验证
7、针对wordpresss修改PHP.ini的 allow_url_include=Off;allow_url_fopen=Off和

disable_functions = apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode

8、文件权限
根目录 750
chmod -R 750 wp-admin
chmod -R 750 wp-content
chmod -R 750 wp-includes
chmod 444 .htaccess
chmod 640 index.php
chmod 400 wp-config.php
chmod 640 wp-blog-header.php

2020-11-08测试禁用函数,新增宝塔没有的:
apache_child_terminate,define_syslog_variables,escapeshellarg,escapeshellcmd,eval,fp,fput,ftp_connect,ftp_exec,ftp_get,ftp_login,ftp_nb_fput,ftp_put,ftp_raw,ftp_rawlist,highlight_file,ini_get_all,inject_code,mysql_pconnect,php_uname,phpAds_remoteInfo,phpAds_XmlRpc,phpAds_xmlrpcDecode,phpAds_xmlrpcEncode,posix_getpwuid,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid,posix_setuid,posix_uname,proc_close,proc_get_status,proc_nice,proc_terminate,xmlrpc_entity_decode

在宝塔后台php禁用函数,粘贴,保存即可。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。