=Start=
缘由:
我买VPS的一个初衷就是搭建一个属于自己的博客,博客系统我还是习惯用WordPress,简单、易用还比较安全。
正文:
1.Nginx相关
Nginx主配置文件:/etc/nginx/nginx.conf
Nginx默认配置文件目录:/etc/nginx/conf.d/
Nginx默认站点主目录:/usr/share/nginx/html/
Nginx默认日志目录:/var/log/nginx/
2.MySQL相关
/etc/my.cnf
3.PHP相关
PHP配置文件:/etc/php.ini
php-fpm配置文件:/etc/php-fpm.d/www.conf
==
Web目录由Nginx配置文件的 root 指令进行设置;
- http://nginx.org/en/docs/http/ngx_http_core_module.html#root
- https://zhongwuzw.github.io/2016/09/24/%E8%B0%83%E6%95%B4Nginx%E7%9A%84%E7%BD%91%E7%AB%99%E6%A0%B9%E7%9B%AE%E5%BD%95/
- https://fraserxu.me/2013/06/22/Nginx-for-developers/
- http://seanlook.com/2015/05/17/nginx-install-and-config/
=END=
《 “CentOS 7 设置-Step4.在 CentOS 7 上配置 WordPress” 》 有 13 条评论
本博客 Nginx 配置之安全篇
https://imququ.com/post/my-nginx-conf-for-security.html
Nginx服务器相关的一些安全配置建议
http://www.jb51.net/article/68471.htm
20步打造最安全的Nginx Web服务器
https://www.centos.bz/2011/03/20-steps-to-create-the-best-secure-nginx-web-server/
https://www.cyberciti.biz/tips/linux-unix-bsd-nginx-webserver-security.html
Linux服务器下nginx的安全配置
http://www.web520.cn/archives/18269
Linux/VPS环境下Nginx安全配置小记(1)
http://wangye.org/blog/archives/248/
服务器安全配置指南
http://blog.shaojike.com/2015/06/15/serversec/
NGINX安全性配置
http://ju.outofmemory.cn/entry/292733
Nginx Security For Ubuntu16.04
https://yazidchen.github.io/2016/11/14/NginxSecuritySettingOnUbuntu/
Nginx 安全增强
https://nrechn.de/post/nginx-enhance-security/
配置Nginx,安全+性能?!
https://www.futures.moe/writings/configure-nginx-with-security-and-effective-yes-or-no.htm
Nginx 配置 HTTPS 服务器
https://aotu.io/notes/2016/08/16/nginx-https/
Nginx常用Rewrite(伪静态规则)WordPress/PHPCMS/ECSHOP/ShopEX/SaBlog/Discuz/DiscuzX/PHPWind/Typecho/DEDECMS
https://www.vpser.net/manage/nginx-rewrite.html
WordPress 伪静态规则(IIS/Apache/Nginx)
https://www.wpdaxue.com/wordpress-rewriterule.html
Nginx环境配置WordPress伪静态规则
https://www.duoluodeyu.com/1066.html
WordPress Apache伪静态规则
https://www.wpyou.com/wordpress-apache-rewrite.html
WordPress 伪静态规则设置:Apache和Nginx,以及二级目录规则
https://www.cuikaiyun.cn/wordpress-apache-nginx.html
https://www.xqblog.com/14387.html
https://themebetter.com/wp-url-rewrite.html
WordPress搬家后点开某个网页出现404 no found的解决方法
https://blog.csdn.net/qq_18383475/article/details/80252342
无忧主机原创:总结WORDPRESS网站迁移方法(完美终结篇)
http://www.51php.com/wordpress/5570.html
利用WordPress自带导入/导出来完成WordPress的迁移
方法一:修改 php.ini 的配置以增大文件大小的限制
http://wordpress.stackexchange.com/questions/113055/import-wordpress-xml-file-larger-than-8mb/123417#123417
方法二:将大xml文件切分成小的xml文件分多次导入
http://wordpress.stackexchange.com/a/118934
方法三:使用wp-cli这个命令行工具
http://wordpress.stackexchange.com/a/242534
http://wp-cli.org/commands/import/
https://github.com/wp-cli/wp-cli
PHP 7 的配置和优化(主要在于opcache的启用和配置)
http://php.net/manual/en/opcache.installation.php#opcache.installation.recommended
http://www.laruence.com/2015/12/04/3086.html
`
opcache.memory_consumption=128
opcache.interned_strings_buffer=8
opcache.max_accelerated_files=4000
opcache.revalidate_freq=60
opcache.fast_shutdown=1
opcache.enable_cli=1
opcache.file_cache=/tmp
`
http://blog.wpoven.com/2016/03/31/php-5-6-vs-php-7-wordpress-sites-nginx/
WordPress性能优化
基本优化`
Memcached/Redis:让 WordPress 使用 Memcached/Redis 进行内存缓存加速。
Opcache:使用 Opcache 进行 PHP 代码编译加速优化。
动静态分离:把 WordPress 站点静态资源(JS,CSS,图片)用 CDN 加速。
`
深度优化`
减少页面SQL次数
`
利用nginx的fastcgi_cache缓存加速WordPress
https://www.centos.bz/2018/02/%E5%88%A9%E7%94%A8nginx%E7%9A%84fastcgi_cache%E7%BC%93%E5%AD%98%E5%8A%A0%E9%80%9Fwordpress/
`
添加ngx_cache_purge模块
修改ngxin配置
安装Nginx-helper插件
`
手动安装WordPress插件
https://codex.wordpress.org/zh-cn:%E7%AE%A1%E7%90%86%E6%8F%92%E4%BB%B6#.E6.89.8B.E5.8A.A8.E5.AE.89.E8.A3.85
https://www.wpdaxue.com/install-wordpress-theme-and-plugin.html#方法三:通过FTP上传安装
WordPress安装插件的几种方法
https://www.xiaoz.me/archives/4089
http://www.yiibai.com/wordpress/wordpress_install_plugins.html
`
方法一:在线搜索安装
访问后台 – 插件 – 安装插件,输入关键词搜索然后安装。
方法二:在线上传主题文件安装
这是用的比较多的方法。访问后台 – 插件 – 安装插件 – 上传,选择本地 .zip 格式的插件包,然后安装。
方法三:通过FTP上传主题
如果没办法通过上面的方法安装,那你可以通过FTP连接主机空间,将创建包解压后,上传到 /wp-content/plugins 目录,然后访问后台 – 插件 – 已安装的插件,就可以启用插件了。
`
设置wordpress维护模式
https://ideas.spkcn.com/technology/web/750.html
WordPress 4.6远程代码执行漏洞分析
http://www.freebuf.com/vuls/133849.html
WordPress 4.6远程代码执行漏洞(CVE-2016-10033)复现环境搭建指南
http://www.freebuf.com/vuls/133860.html
【更新WordPress 4.6漏洞利用PoC】PHPMailer曝远程代码执行高危漏洞(CVE-2016-10033)
http://www.freebuf.com/news/123945.html
WordpPress 4.7 无需登录即可利用的密码重置漏洞(CVE-2017-8295)
https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html
http://www.freebuf.com/vuls/133816.html
WordPress PHPMailer RCE 批量检测poc
https://landgrey.me/wordpress-phpmailer-rce-poc/
https://exploitbox.io/vuln/WordPress-Exploit-4-6-RCE-CODE-EXEC-CVE-2016-10033.html
https://github.com/phith0n/vulhub/tree/master/wordpress/phpmailer-rce
Fix for Crayon Syntax Highlighter WordPress Plugin and PHP 7.3 Fatal Error
https://crunchify.com/fix-for-crayon-syntax-highlighter-wordpress-plugin-and-php-7-3-fatal-error/
https://github.com/Crunchify/crayon-syntax-highlighter/commits/2.8.6
`
Warning: preg_replace(): Compilation failed: invalid range in character class at offset 4 in ./wp-content/plugins/crayon-syntax-highlighter/crayon_langs.class.php on line 340
Uncaught Error: Call to a member function id() on array in ./wp-content/plugins/crayon-syntax-highlighter/crayon_formatter.class.php
`
WordPress安全防护 你可以做这些事情
https://themeforwp.net/archives/wordpress-security/
`
一个强大的管理员密码
登陆次数限制
修改登录地址
保持WordPress最新版本
不安装来源不明的主题插件
网站防火墙
定期备份站点
如果能够做到以上几点,你的WordPress就已经很难被攻击了,其实如果没有第三方插件的话,WordPress本身还是非常安全的,只要做好备份,平常使用时完全不用担心。
`