我有两个网站在我自己的根服务器上运行(ubuntu / nginx / php-fpm)。现在我想再添加一个网站,一个wordpress博客。如你所知,wordpress可能是一个安全风险,这就是为什么我问自己如何从其他网站“分离”wordpress。因此,当wordpress被黑客攻击时,我希望攻击者被困在wordpress中。如果他能比wordpress博客“看得更多”,那将是致命的。您保护网站彼此的策略是什么?
答案 0 :(得分:1)
设置权限并为运行wordress时使用的Web服务器创建单独的用户/组,并使用suexec使用该用户/组权限运行wordpress。请注意,您的其他网站甚至不能用于wordpress用户。
答案 1 :(得分:0)
我发现不幸的是,关于wordpress的一般普查是“当它被黑客入侵”时。但后来我猜没有火没有烟。
我认为创建正确的权限,用户/群组等是一个很好的方法,但就个人而言,如果有预算,我建议将这些应用程序完全分离到不同的资源上。
考虑到WordPress漏洞利用的历史,我不会冒险将任何有价值的东西放在同一个盒子上。
答案 2 :(得分:0)
确保您设置权限会有所帮助,但这不一定能确保安全。
这也应该与许多其他修复一起使用。以下是其中一些:
1)更改wp-admin的网址
2)调查并安装安全插件。有一些会在使用它们之前清理get和post。
3)更改管理员用户的默认用户名。
4)禁用允许上传文件的功能。确保上传的文件夹文件也不可写。
5)您还可以使用htaccess保护wp-admin文件夹。