我正在使用带有Better WP Security插件的Wordpress。
此插件提供的选项不允许机器人或任何人以/wp-admin或/wp-login登录。
相反,它要求您访问特定网址,例如/secret-area,然后从那里将您重定向到以下网址(注意它附加的长密钥):
/wp-admin?h28g8y28kknkwh28h3&redirect_to=/wp-admin/
这样扫描的机器人无法找到常见的Wordpress登录路径。
问题在于,当我启用Varnish时,当我访问/secret-area时,页面会尝试重定向到以下URL(显然不起作用):
example.com:8080/wp-login.php?h28g8y28kknkwh28h3&redirect_to=/wp-admin/
所以它添加了端口8080,这是nginx正在监听的后端。
我唯一可以想象的是Better WP Security插件要求你添加的Nginx配置没有考虑到nginx没有在端口80上运行...
所以,我想知道你是否可以看到这些规则存在问题?有问题的部分接近底部:
# BEGIN Better WP Security
set $susquery 0;
set $rule_2 0;
set $rule_3 0;
if ($request_method ~* "^(TRACE|DELETE|TRACK)"){ return 403; }
location /wp-comments-post.php {
valid_referers novalidreferrers;
set $rule_0 0;
if ($request_method ~ "POST"){ set $rule_0 1$rule_0; }
if ($invalid_referer) { set $rule_0 2$rule_0; }
if ($http_user_agent ~ "^$"){ set $rule_0 3$rule_0; }
if ($rule_0 = "3210") { return 403; }
} if ($args ~* "\.\./") { set $susquery 1; }
if ($args ~* ".(bash|git|hg|log|svn|swp|cvs)") { set $susquery 1; }
if ($args ~* "etc/passwd") { set $susquery 1; }
if ($args ~* "boot.ini") { set $susquery 1; }
if ($args ~* "ftp:") { set $susquery 1; }
if ($args ~* "http:") { set $susquery 1; }
if ($args ~* "https:") { set $susquery 1; }
if ($args ~* "(<|%3C).*script.*(>|%3E)") { set $susquery 1; }
if ($args ~* "mosConfig_[a-zA-Z_]{1,21}(=|%3D)") { set $susquery 1; }
if ($args ~* "base64_encode") { set $susquery 1; }
if ($args ~* "(%24&x)") { set $susquery 1; }
if ($args ~* "(\[|\]|\(|\)|<|>|ê|\"|;|\?|\*|=$)"){ set $susquery 1; }
if ($args ~* "("|'|<|>|\|{|||%24&x)"){ set $susquery 1; }
if ($args ~* "(127.0)") { set $susquery 1; }
if ($args ~* "(%0|%A|%B|%C|%D|%E|%F)") { set $susquery 1; }
if ($args ~* "(globals|encode|localhost|loopback)") { set $susquery 1; }
if ($args ~* "(request|select|insert|concat|union|declare)") { set $susquery 1; }
if ($http_cookie !~* "wordpress_logged_in_" ) {
set $susquery 2$susquery;
set $rule_2 1;
set $rule_3 1;
}
if ($args !~ "^loggedout=true") { set $susquery 3$susquery; }
if ($susquery = 4321) { return 403; }
rewrite ^/login/?$ /wp-login.php?h28g8y28kknkwh28h3 redirect;
if ($rule_2 = 1) { rewrite ^/admin/?$ /wp-login.php?h28g8y28kknkwh28h3&redirect_to=/wp-admin/ redirect; }
if ($rule_2 = 0) { rewrite ^/admin/?$ /wp-admin/?h28g8y28kknkwh28h3 redirect; }
rewrite ^/register/?$ /wp-login.php?h28g8y28kknkwh28h3&action=register redirect;
if ($uri !~ "^(.*)admin-ajax.php") { set $rule_3 2$rule_3; }
if ($http_referer !~* wp-admin ) { set $rule_3 3$rule_3; }
if ($http_referer !~* wp-login.php ) { set $rule_3 4$rule_3; }
if ($http_referer !~* login ) { set $rule_3 5$rule_3; }
if ($http_referer !~* admin ) { set $rule_3 6$rule_3; }
if ($http_referer !~* register ) { set $rule_3 7$rule_3; }
if ($args !~ "^action=logout") { set $rule_3 8$rule_3; }
if ($args !~ "^h28g8y28kknkwh28h3") { set $rule_3 9$rule_3; }
if ($args !~ "^action=rp") { set $rule_3 0$rule_3; }
if ($args !~ "^action=register") { set $rule_3 a$rule_3; }
if ($args !~ "^action=postpass") { set $rule_3 b$rule_3; }
if ($rule_3 = ba0987654321) {
rewrite ^(.*/)?wp-login.php /not_found redirect;
rewrite ^/wp-admin(.*)$ /not_found redirect;
}
# END Better WP Security
答案 0 :(得分:1)
这么简单的解决方案.....................这些是我生活的时刻。
对于遇到同样问题的其他人:
port_in_redirect off;
将它放在服务器块中的nginx配置中。 Presto,所有重定向现在都使用varnish和nginx。