wordpress/nginx安全设置_WordPress-免费资源网

时间：2019-05-08

阅读：

最近闲时研究了下博客的安全，除去系统的安全问题，主要关注点在登录这一块。

一、安装wordpress插件实现安全登录

Google Authenticator （使用谷歌两步验证加强 WordPress 登录安全）

我选择了这个真正能保证wp安全的这个插件，这个插件提供双重安全验证登录，跟谷歌帐户的“两步验证”是一样的原理。在wp上安装好这个插件并启用后，进入“用户”-》“我的个人资料”会看到设置界面：

选中“Active”，填写“站点描述”，保存。然后根据自己的手持设备安装 Google 身份验证器（我在我的apple设备及黑莓设备上都安装了），添加令牌（填写站点描述及密钥）后就绑定了。然后就可以在登录界面（亲，切记在手持设备上绑定后再登出啊）看到如下情况了：

如果博客不只一个用户，其它用户也可以在他自己的资料里面启用这种两步验证的登录方式，如果用户没有启用，那么登录的时候不用填写“google authenticator code”。

当然了，通过搜索还有其它登录安全的插件，如 One Time Password （采用一次性密码登录你的 WordPress，应该类似于银行纸质的那种刮刮卡）、 WP Login Security （根据登录用户IP地址来保护你的 WordPress 安全）、 Login Lockdown （锁定无效登录）、 WP Firewall 2 。

二、设置SSL登录及SSL后台

HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容请看SSL。

它是一个URI scheme（抽象标识符体系），句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。

首先要在wordpress中设置强制SSL登录及SSL后台，具体做法是：

在wordpress的根目录中找到“wp-config.php”

设置两个常量“FORCE_SSL_LOGIN”、“FORCE_SSL_ADMIN”为true。

我用得是Nginx反向代理，只有如上设置肯定是不行的。

要做下面的操作前，首先要保证安装nginx的时候安装了ssl的支持，通过命令“nginx -V”就能查看你在编译的时候添加没有添加“-with-http_ssl_module”这个参数。如果没加，重新编译安装一次吧（记得备份配置文件）。

nginx准备好后就开始设置了，我在这里就不说收费的受浏览器信任的证书了，我用了“自颁发不受浏览器信任的证书”。

输入以下命令：

openssl req -new -x509 -days 365 -newkey rsa:2048  -nodes -out nginx.pem -keyout nginx.key

会生成两个文件，当然也会让你填很多问题，

Generating a 1024 bit RSA private key
...................................++++++
..............................++++++
writing new private key to 'nginx.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:New Jersey
Locality Name (eg, city) []:Absecon
Organization Name (eg, company) [Internet Widgits Pty Ltd]:SoftwareDev, LLC
Organizational Unit Name (eg, section) []:Web Services
Common Name (eg, YOUR name) []:squire.ducklington.org
EmAIl Address []:squire@ducklington.org

“Common Name”一定要是你的域名，然后在nginx.conf中设置：

server {
        listen       443;
        server_name  yourdomain;
 
        ssl                  on;
        ssl_certificate      nginx.pem;
        ssl_certificate_key  nginx.key;
 
        ssl_session_timeout  5m;
 
        ssl_protocols  SSLv2 SSLv3 TLSv1;
        ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
        ssl_prefer_server_ciphers   on;
 
        add_header      Front-End-Https on;
        root /xxx;
 
        location / {
                rewrite ^ http://$host$request_uri permanent;
        }
        location /wp-admin {
                fastcgi_pass unix:/tmp/php-fpm.sock;
                fastcgi_index index.php;
                include fastcgi.conf;
        }
        location ~.*.(php|php5)?$ {
                fastcgi_pass unix:/tmp/php-fpm.sock;
                fastcgi_index index.php;
                include fastcgi.conf;
        }
}
#下面是80端口vhost中的
rewrite ^/wp-login.php(.*) https://$host/wp-login.php$1 permanent;
location ~ ^/(wp-admin)/* {
        rewrite ^/(.*) https://$host/$1 permanent;
}

然后重新加载nginx应该就可以ssl登录了。

当然了，我遇到个问题，就是https获取CSS文件，返回的MIME类型为text/html。如下：

Resource interpreted as Stylesheet but transferred with MIME type text/html: "https://blog.ueder.info/wp-admin/css/wp-admin.css?ver=3.4.1". 
Resource interpreted as Stylesheet but transferred with MIME type text/html: "https://blog.ueder.info/wp-admin/css/colors-fresh.css?ver=3.4.1".

出错原因在于：上面的conf文件中location /wp-admin，将所有请求都传给fastcgi_pass处理了，php cgi中始终返回text/html，所以修改conf文件后，css、js文件nginx来处理就解决问题了。

server {
        listen       443;
        server_name  yourdomain;
 
        ssl                  on;
        ssl_certificate      nginx.pem;
        ssl_certificate_key  nginx.key;
 
        ssl_session_timeout  5m;
 
        ssl_protocols  SSLv2 SSLv3 TLSv1;
        ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
        ssl_prefer_server_ciphers   on;
 
        add_header      Front-End-Https on;
        root /xxx;
 
        set $rewriteHttp "yes";
 
    location / {
        if ($request_uri ~* ^/wp-login.php) {
            set $rewriteHttp "no";
        }
        if ($request_uri ~* ^/wp-admin) {
            set $rewriteHttp "no";
        }
        if ($rewriteHttp ~ ^yes$) {
                        rewrite ^ http://$host$request_uri permanent;
        }
        index index.html index.htm index.php;
 
        }
 
        location ~.*.(php|php5)?$ {
                fastcgi_pass unix:/tmp/php-fpm.sock;
                fastcgi_index index.php;
                include fastcgi.conf;
        }
}

参考资料：

1、 SSL Certificates with Nginx

2、 Administration Over SSL

在 WordPress网站后台上传某些特殊格式的图片文件时，如果服务器不允许或者不支持该类格式的文件上传，那么，就会出现如下错误提示：web服务器无法处理该图片，请在上传前将其转换为

2024-01-24 10:36:19

插件简介：Mailpress是一个比较流行的邮件插件。插件下载Plugin Directory：https://wordpress.org/plugins/mailpress/漏洞复现：漏洞详解地址：https://github.com/Medicean/VulAp

2023-10-06 22:02:48

特色图片是您可以添加到博客文章中的最重要的图片之一。特色图片之所以如此重要，是因为它在 WordPress 中的使用方式。当人们偶然发现在社交媒体上分享的您网站的链接时，他们

2023-09-21 20:45:38

需要更新到 Google Analytics 4，但不确定如何更新？很难设置现在所需的 Google Analytics 4？在这篇文章中，我将向您展示如何操作。Google Analytics 4 正在取代其前身 Universal

2023-09-21 20:45:16

需要知道 WordPress 媒体文件的附件 ID？不确定如何找到附件 ID？WordPress 是全球无数网站的支柱。它的灵活性很大程度上归功于各种功能，包括媒体库。这是一个用户友好的媒体文

2023-09-21 20:44:57

WordPress 具有内置菜单管理系统，可以轻松地将菜单添加到您的网站。然而，随着您添加越来越多的页面、帖子和其他杂项内容，将每个目的地都包含在标准菜单栏中可能会变得不可能。

2023-09-21 20:44:37

网站可能会因多种原因突然停止工作。对网站的成功请求通常会给出 200 的状态代码。当网站无法运行时，我们首先要做的事情之一就是找出服务器返回的状态代码。这可能并不总能

2023-09-21 20:44:18

更改 WordPress 网站中的字体大小对于一小部分文本来说可以快速轻松地完成，但如果您想对较大的文本部分进行更改，则可能需要做更多的工作。在这个快速教程中，我将向您展示如何

2023-09-21 20:43:45

正在努力为您的 WordPress 网站创建 PNG 徽标吗？不确定如何将 PNG 徽标上传到 WordPress？创建和添加徽标可能看起来很困难，但它比您想象的要容易得多。本分步指南将详细介绍如

2023-09-21 20:42:37

创建 WordPress 主题时只需要使用两个文件：index.php 文件（充当网站的主模板文件）和 style。 css 文件，这是您网站的主要样式文件。还有第三个文件，名为 functions.php，它实际上不

2023-09-21 20:42:12

毫无疑问，Quform 和 FormCraft 是市场上最受欢迎和评价最高的两个 WordPress 表单构建器，但这两个巨头中的哪一个最适合您呢？今天，我们深入了解一下这些表单构建器的特殊之处。

2023-09-07 21:18:07

自定义后台的侧边栏顶级菜单首先让我们看看，什么是后台的侧边栏菜单:上图就是使用管理员账号登陆后看到的侧边栏所有的菜单项，WordPress给不同角色的用户定义了不同功能的使用

2023-05-29 20:43:45

有很多WordPress博客的固定链接中使用了文章ID，但是WordPress由于种种原因导致了文章ID不连续的问题，也经常有博友在论坛中提问要解决这个问题，但是很少能够得到他们满意的答复

2023-05-29 20:42:43

WordPress如何批量修改文章信息？下面本篇文章给大家介绍一下WordPress批量修改文章内容、摘要、作者、所有评论、敏感词汇等信息，希望对大家有所帮助！你是否遇到过如下几种状况

2023-05-29 20:41:25

效果预览方法1.将以下代码加入到主题的functions.php中//页面加载时间自动检测function wp_page_speed() { date_default_timezone_set( get_option( 'timezone_

2023-04-18 23:24:38

说到wordpress的缓存，大家想到的肯定是 WP-Super-Cache 的静态html缓存，以及 memcached 或 redis 动态缓存，插件的缓存效果肯定是有的，但是容易出现各种问题，比如配置很复杂、配

2023-04-18 23:21:39

上文提到了WordPress博客的Nginx缓存方法，但当我使用时，缓存文件始终清理不掉，更新文章主页访问的仍然是缓存文件，检查了好久发现，清理的缓存文件夹设置错误。解决办法很简单，在 W

2023-04-18 23:20:15

主题制作中往往会使用WP自定义字段实现一些功能，特别是在wordpress淘宝客模板中的使用，产品的价格、链接都可以通过自定义栏目使用。默认的自定义字段使用方法是下拉菜单形式，

2023-04-18 23:17:13

对于类似发布各种活动通知或到期时间内容的wordpress站点，也许会需要这样一个功能：发布活动内容的时候设定活动的到期日期，当活动还没有过期，网页显示“进行中”；当活

2023-04-18 23:16:03

WordPress能承载多大的数据？文章数量十万百万能承载吗？支撑几百万没问题，不过需要自己改写部分代码，去掉WordPress一些耗时大的功能。面对大数据量（百万级），有几方面可以考虑改进：1.

2023-04-04 17:54:12

我们在WordPress中编写文章的时候，经常会用到一些自定义字段，如网页描述description和关键词keywords这两个meta标签，关于这两个标签，可以看我之前写过的一篇文章：WordPress设置

2023-03-08 22:55:58

CorePress Pro是一款非常优秀的wordpress主题，价格不贵，功能很多（尽管部分属于鸡肋）。最重要的是不支持内容页分页，怎么解决呢？找到CorePress-Pro/component/post-content.php（一）解

2023-01-07 14:52:44

WordPress在把文章移动到回收站后，图片附件和特色图片还会存在，这样就会占用服务器资源，再手动一个个删除也很费事。今天我们来实操一下同步删除。百度一下，有文章介绍使用以下

2023-01-06 22:41:14

WordPress程序在上传图片后会生成一大推大大小小的缩略图，久而久之服务器资源就会爆满。通过以下代码，可以实现禁止生成缩略图// 禁用自动生成的图片尺寸function shapeSpace_

2023-01-06 22:40:48

后台文章按修改时间排序在当前主题的functions.php中添加以下php代码即可：function ludou_set_post_order_in_admin( $wp_query ) {
if ( is_admin() ) {
$wp_query->set( &l

2023-01-06 22:36:58

今天给大家分享wordpress网站如何设置指定用户级别查看内容的方法。wordpress用户的默认等级如下，根据这个等级代码调用就可以了：管理员：Administrator: level 10编辑：Editor: L

2023-01-06 22:36:03

一、什么是WordPress的附件页面？wordpress站点对于附件（图片）是有默认页面的，具体查看方法是通过侧边栏的“媒体库”。点开每一张图片，右下角就有查看附件页面，点开来就

2023-01-06 22:32:40

WordPress默认是按照文章发布时间来排序的，这就会产生一个问题，那些定时发布或者后期修改过但是需要展示到首页的文章将永远排在后面，其实WordPress的文章排序是可以更改的，这种

2023-01-06 22:31:45

一、用图片设计软件自行设计背景图片并将其透明度调到50%（看个人喜好），上传到服务器或七牛例如你设计的图片命名为comment.png,并上传到“/wp-content/themes/你的当前主

2022-04-04 19:32:31

如果我们使用WordPress默认主题或者大部分主题的时候，在留言评论处一般是有昵称、URL、邮箱，以及评论内容几个选项的。我们肯定很多人都有留意，有些网友回访评论均不是用来真正

2022-03-14 20:48:56

WordPress 5.2 正式版发布，新版为您提供了更强大的工具，用于识别和修复配置问题和致命错误。无论您是帮助客户的开发人员还是您自己管理网站，这些工具都可以帮助您在需要时获得

2019-05-08 23:18:25

有一些做站群的站长可能会需要用到泛解析域名功能，比如在同样的内容或者有时候随机页面解析到主域名的泛域名。以前也有接触过这类的网站项目，但是都没有操作过。如果是NGINX

2019-05-05 23:53:55

Google 认为互联网用户的时间是宝贵的，他们的时间不应该消耗在漫长的网页加载中，因此在 2015 年 9 月 Google 推出了无损压缩算法 Brotli。Brotli 通过变种的 LZ77 算法、Huff

2019-05-05 23:12:40

当下Nginx越发流行，宝塔面板、Oneinstack、LNMP等集成环境大多数都使用Nginx作为WEB服务，Nnginx + PHP情况下使用FPM（FastCGI 进程管理器）来执行PHP，这篇文章抛开PHP程序写法不严

2019-05-05 22:50:03

如果我们网站中的图片比较多，而且有些可能还是比较大的图，且服务器带宽比较小的话，其实可以将图片单独用第三方云存储存放。今天在这篇文章中再介绍基于阿里云OSS对象存储的WPO

2019-05-05 21:49:03

WordPress函数wp_get_recent_posts用于获取最新文章，包括文章的标题、别名、状态、发表时间、修改时间、内容等信息。wp_get_recent_posts( array $args, string $output )函

2019-04-30 22:24:23

WordPress函数is_sticky用于判断当前文章是否置顶，在WordPress主题的制作中，可以通过判断文章是否置顶以应用不同的样式，例如加一个推荐的标签。is_sticky(int $post_ID)函数参

2019-04-30 22:22:44

打开评论，选择筛选，显示Ping通告，是否发现有许多垃圾评论？看到的内容一般是你的文章内容片段，这类评论是PingBack造成的。原本PingBack的诞生是为了更好的博客互动，却被垃圾评论制

2019-04-30 22:17:56

WordPress 5.2 测试版 Beta 1 现已发布。5.2 版本目前仍在开发中，因此不建议在生产环境下使用。同时，官方表示 WordPress 5.2 正式版本将于 4 月 30 日发布。现有两种方法可尝

2019-03-31 23:40:24

apache是通过mod_php来解析php nginx是通过php-fpm(fast-cgi)来解析php1. PHP 解释器是否嵌入 Web 服务器进程内部执行mod_php 通过嵌入 PHP 解释器到 Apache 进程中，只能与

2019-03-26 21:22:00

2018-08-30

2019-09-12

2018-08-30

2019-09-03

2019-02-27

2018-10-18

2020-04-25

2021-03-24

2020-03-10

2019-09-03

wordpress/nginx安全设置

一、安装wordpress插件实现安全登录

二、设置SSL登录及SSL后台

热点内容

免费资源网

在线工具

扫一扫随时看

本站下载频道