给WordPress设置后台/登录页面强制加密

本文最后更新于2014年7月26日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!

其实早就想弄个HTTPS了的,明文传输什么的太不安全了,自己在家里可能还稍微好点,但到时候到了外面用的网络的安全没法保证的话,嗅探、监听什么的立马就把密码给抓过去了,密码丢了的话,其他的安全做的再好也白搭。

上午看了看HTTPS的相关知识,中午就想着给Nginx增加个HTTPS支持/配置,因为之前在源码编译安装的时候就默认添加了SSL的支持选项,所以这次要轻松些,不用重新编译;然后OpenSSL这些也是早就装了的,版本也是最新的。

下面就开始一切从简进行设置了:
使用自认证的证书:

1.创建一个(未加密的)RSA私钥:
$ openssl genrsa -out crazyof_me.key 1024

2.创建一个自签名的证书文件(X.509结构,输出为PEM格式):
$ openssl req -new -x509 -days 365 -key crazyof_me.key -out crazyof_me.crt

现在,我们有了两个文件,crazyof_me.key和crazyof_me.crt,下面只需在nginx中的配置文件中进行简单的设置就行:

说明:因为我的VPS配置比较低,所以,不可能所有的连接都采用HTTPS,那样开销太大,服务器受不了,而且访问速度也会受影响,所以,1.设置了ssl_session_cache和ssl_session_timeout进行简单的优化;2.上面的配置中有2个listen指令,既可以监听HTTP请求也可以监听HTTPS请求(本来想着是在nginx的配置文件中通过rewrite指令实现指定的页面采用HTTPS协议的,但是无奈现在对这还不够熟悉,配置了很多次之后还是有问题,后来只有采用另一种WordPress支持的方法来达到目的)。

然后重新加载Nginx的配置文件{# service nginx reload}。

设置WordPress后台管理/登录页面强制加密:

修改WordPress网站根目录下的wp-config.php文件

require_once(ABSPATH . ‘wp-settings.php’);
之前,若添加:
define(‘FORCE_SSL_ADMIN’, true);
就能使得后台强制加密了;
而添加:
define(‘FORCE_SSL_LOGIN’, true);
就可以使登录页面强制加密了。

PS:如果有谁知道如何在nginx的配置文件中直接实现指定页面(如:登录页面)采用HTTPS连接的话,望不吝告知,谢谢。

参考链接:

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/764.html

《给WordPress设置后台/登录页面强制加密》上有4条评论

  1. 设置后台管理员权限不能编辑模板插件(防止在密码泄露时被getshell),可以简单地在 wp-config.php 里面添加/修改:

    define('DISALLOW_FILE_EDIT', true);
    define('DISALLOW_FILE_MODS', true);

    就ok。

  2. 说说wordpress博客的安全防护
    http://www.freebuf.com/articles/web/13837.html

    如何为WordPress做安全防护?
    http://www.freebuf.com/articles/web/49210.html

    WordPress安全检测工具
    http://www.freebuf.com/articles/808.html

    我是如何巧妙渗入安全脉搏的(附官方还原详情)
    https://www.secpulse.com/archives/50971.html

    C99 php webshell攻击加剧,大量WordPress站点遭受威胁
    http://www.freebuf.com/news/101924.html

    CMS漏洞检测工具 – CMSmap
    http://www.freebuf.com/tools/58022.html

    利用xmlrpc.php对WordPress进行暴力破解攻击
    http://www.freebuf.com/articles/web/38861.html

    与WordPress博客相关的安全措施

    site:freebuf.com wordpress 安全
    site:bobao.360.cn wordpress 安全

发表评论

电子邮件地址不会被公开。 必填项已用*标注