增加安全的他通过 web.config 文件下 Wordpress 的博客
pl:Zwiększyć bezpieczeństwo swojego bloga na Wordpress przez plik web.config
ja:Web.config ファイルを介してワードプレスの下で彼のブログの安全性を高める
de:Erhöhen Sie die Sicherheit von seinem Blog unter Wordpress über die web.config-Datei
nl:Verhoging van de veiligheid van zijn blog onder Wordpress via het bestand web.config
it:Aumentare la sicurezza del suo blog in Wordpress tramite il file Web. config
pt:Aumentar a segurança do seu blog em Wordpress através do arquivo Web. config
es:Aumentar la seguridad de su blog bajo Wordpress mediante el archivo web.config
en:Increase the safety of his blog under Wordpress via the web.config file
ar:زيادة سلامة مدونته تحت وورد عن طريق ملف web.config
fr:Accroître la sécurité de son blog sous Wordpress via le fichier web.config
这篇文章是从由软件进行自动翻译。你可以看到这篇文章的源代码
介绍
本教程的目的是博客的增加他由微软 iis 使用 web.config 文件的 Wordpress 提供动力的安全性。
本指南不是提交的完整的安全,但允许相对简单,不同的解决方案,以提高你的博客的安全性。
提醒
前深入问题的核心,它可能有必要提醒一些重要的事情 :
- 选择你的 Wordpress 的自动更新
- 尽可能保持插件可能和使用限制插件
- 通过删除不使用的那些限制模板 /必要和喜欢的网站 "受信任 " 下载你的博客主题
- 使用复杂的密码 (数字、 大写英文字母、 特殊字符等�) 和永远不会使用相同的密码
- 定期检查不同的连接日志 (你会发现一篇文章中我们的 Wiki : fr:Comment exploiter rapidement et facilement les journaux de connexion Windows ?)
- 执行备份并验证后者的完整性。
重要
下面的 web.config 文件,当然是,适应按照你的 Wordpress 配置和参数的 IP 地址的访问您的 CMS 管理水平制约的是适应在后果。 另一方面,附加的配置文件已经过测试与 Windows 2008 服务器 R 2/IIS 7.5.可能需要根据您的操作系统版本更改 /IIS。
Web.config
下面是博客的将允许您来提高你在 Wordpress 下安全的 web.config 文件。 解释是标记之间文件中的注释 .
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<defaultDocument>
<files>
<clear />
<add value="index.htm" />
<add value="index.html" />
<add value="index.php" />
</files>
</defaultDocument>
<security>
<requestFiltering>
<denyUrlSequences>
<add sequence="ofc_upload_image.php" />
<add sequence="timthumb.php" />
<add sequence="img.php" />
<add sequence="img_x.php" />
<add sequence="thumb.php" />
<add sequence="phpthumb.php" />
<add sequence="kontol.php" />
<add sequence="magic.php.png" />
<add sequence="food.php" />
<add sequence="ph.php" />
<add sequence="fragile.php" />
<add sequence="3xp.php" />
<add sequence="explore.php" />
<add sequence="shell.php" />
<add sequence="petx.php" />
<add sequence="dl-skin.php" />
<add sequence="direct_download.php" />
<add sequence="getfile.php" />
<add sequence="vito.php" />
<add sequence="upload_settings_image.php" />
<add sequence="saint.php" />
<add sequence="lunar.php" />
<add sequence="c99.php" />
<add sequence="r57.php" />
<add sequence="ekin0x.php" />
<add sequence="cmd.php" />
<add sequence="dq.php" />
<add sequence="tryag.php" />
</denyUrlSequences>
<filteringRules>
<filteringRule name="SQLi" scanUrl="true" scanQueryString="true">
<appliesTo>
<add fileExtension=".php" />
</appliesTo>
<denyStrings>
<clear />
<add string="--" />
<add string=";" />
<add string="/*" />
<add string="@" />
<add string="char" />
<add string="alter" />
<add string="begin" />
<add string="cast" />
<add string="create" />
<add string="cursor" />
<add string="declare" />
<add string="delete" />
<add string="drop" />
<add string="end" />
<add string="exec" />
<add string="fetch" />
<add string="insert" />
<add string="kill" />
<add string="open" />
<add string="select" />
<add string="sys" />
<add string="table" />
<add string="update" />
</denyStrings>
</filteringRule>
</filteringRules>
</requestFiltering>
</security>
<directoryBrowse enabled="false" />
<rewrite>
<rules>
<clear />
<rule name="AdminIPs" patternSyntax="ECMAScript">
<match url=".*" />
<conditions logicalGrouping="MatchAny" trackAllCaptures="false">
<add input="{REMOTE_ADDR}" pattern="10\.11\.12\.13" />
</conditions>
<serverVariables>
<set name="HTTP_X_AdminIPAllowed" value="yes" />
</serverVariables>
</rule>
<rule name="Restrict wp-login.php access" stopProcessing="true">
<match url=".*" />
<conditions logicalGrouping="MatchAll" trackAllCaptures="false">
<add input="{REQUEST_FILENAME}" pattern="wp-login.php" />
<add input="{HTTP_X_AdminIPAllowed}" pattern="yes" negate="true" />
</conditions>
<action type="CustomResponse" statusCode="403" statusReason="Forbidden: Access is denied." statusDescription="You do not have permission to view this directory or page using the credentials that you supplied." />
</rule>
</rules>
<outboundRules rewriteBeforeCache="true">
<rule name="Remove Server header">
<match serverVariable="RESPONSE_Server" pattern=".+" />
<action type="Rewrite" value="" />
</rule>
<rule name="Remove ETag">
<match serverVariable="RESPONSE_ETag" pattern=".+" />
<action type="Rewrite" value="" />
</rule>
</outboundRules>
</rewrite>
<httpProtocol>
<customHeaders>
<remove name="X-AspNet-Version" />
<remove name="X-AspNetMvc-Version" />
<remove name="X-Powered-By" />
<remove name="X-Powered-By-Plesk" />
</customHeaders>
</httpProtocol>
</system.webServer>
</configuration>
开启评论自动刷新