给WordPress设置后台/登录页面强制加密


其实早就想弄个HTTPS了的,明文传输什么的太不安全了,自己在家里可能还稍微好点,但到时候到了外面用的网络的安全没法保证的话,嗅探、监听什么的立马就把密码给抓过去了,密码丢了的话,其他的安全做的再好也白搭。

上午看了看HTTPS的相关知识,中午就想着给Nginx增加个HTTPS支持/配置,因为之前在源码编译安装的时候就默认添加了SSL的支持选项,所以这次要轻松些,不用重新编译;然后OpenSSL这些也是早就装了的,版本也是最新的。

下面就开始一切从简进行设置了:
使用自认证的证书:

1.创建一个(未加密的)RSA私钥:
$ openssl genrsa -out crazyof_me.key 1024

2.创建一个自签名的证书文件(X.509结构,输出为PEM格式):
$ openssl req -new -x509 -days 365 -key crazyof_me.key -out crazyof_me.crt

现在,我们有了两个文件,crazyof_me.key和crazyof_me.crt,下面只需在nginx中的配置文件中进行简单的设置就行:

http {
    ssl_session_cache   shared:SSL:10m;
    ssl_session_timeout 10m;

    server {
        listen              80;
        listen              443 ssl;
        server_name         ixyzero.com;
        keepalive_timeout   70;

        ssl_certificate     /home/crazyof_me.crt;
        ssl_certificate_key /home/crazyof_me.key;
        ssl_protocols       SSLv3 TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers         HIGH:!aNULL:!MD5;
        ...

说明:因为我的VPS配置比较低,所以,不可能所有的连接都采用HTTPS,那样开销太大,服务器受不了,而且访问速度也会受影响,所以,1.设置了ssl_session_cache和ssl_session_timeout进行简单的优化;2.上面的配置中有2个listen指令,既可以监听HTTP请求也可以监听HTTPS请求(本来想着是在nginx的配置文件中通过rewrite指令实现指定的页面采用HTTPS协议的,但是无奈现在对这还不够熟悉,配置了很多次之后还是有问题,后来只有采用另一种WordPress支持的方法来达到目的)。

然后重新加载Nginx的配置文件{# service nginx reload}。

设置WordPress后台管理/登录页面强制加密:

修改WordPress网站根目录下的wp-config.php文件

require_once(ABSPATH . ‘wp-settings.php’);
之前,若添加:
define(‘FORCE_SSL_ADMIN’, true);
就能使得后台强制加密了;
而添加:
define(‘FORCE_SSL_LOGIN’, true);
就可以使登录页面强制加密了。

PS:如果有谁知道如何在nginx的配置文件中直接实现指定页面(如:登录页面)采用HTTPS连接的话,望不吝告知,谢谢。

参考链接:

《 “给WordPress设置后台/登录页面强制加密” 》 有 6 条评论

  1. 设置后台管理员权限不能编辑模板插件(防止在密码泄露时被getshell),可以简单地在 wp-config.php 里面添加/修改:
    `
    define(‘DISALLOW_FILE_EDIT’, true);
    define(‘DISALLOW_FILE_MODS’, true);
    `
    就ok。

  2. 说说wordpress博客的安全防护
    http://www.freebuf.com/articles/web/13837.html

    如何为WordPress做安全防护?
    http://www.freebuf.com/articles/web/49210.html

    WordPress安全检测工具
    http://www.freebuf.com/articles/808.html

    我是如何巧妙渗入安全脉搏的(附官方还原详情)
    https://www.secpulse.com/archives/50971.html

    C99 php webshell攻击加剧,大量WordPress站点遭受威胁
    http://www.freebuf.com/news/101924.html

    CMS漏洞检测工具 – CMSmap
    http://www.freebuf.com/tools/58022.html

    利用xmlrpc.php对WordPress进行暴力破解攻击
    http://www.freebuf.com/articles/web/38861.html

    与WordPress博客相关的安全措施

    site:freebuf.com wordpress 安全
    site:bobao.360.cn wordpress 安全

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注