增加自己的博客中 Wordpress 通过 web.config 文件的安全性
这篇文章是从由软件进行自动翻译。你可以看到这篇文章的源代码
fr:Accroître la sécurité de son blog sous Wordpress via le fichier web.config
he:להגביר את הבטיחות של הבלוג שלו תחת וורדפרס באמצעות הקובץ web. config
ro:Creşte siguranţa lui blog în Wordpress prin fișierul web.config
ru:Повысить безопасность своего блога под Wordpress через файл web.config
pl:Zwiększyć bezpieczeństwo swojego bloga na Wordpress przez plik web.config
ja:Web.config ファイルを介してワードプレスの下で彼のブログの安全性を高める
ar:زيادة سلامة مدونته تحت وورد عن طريق ملف web.config
zh:增加安全的他通过 web.config 文件下 Wordpress 的博客
de:Erhöhen Sie die Sicherheit von seinem Blog unter Wordpress über die web.config-Datei
nl:Verhoging van de veiligheid van zijn blog onder Wordpress via het bestand web.config
it:Aumentare la sicurezza del suo blog in Wordpress tramite il file Web. config
pt:Aumentar a segurança do seu blog em Wordpress através do arquivo Web. config
es:Aumentar la seguridad de su blog bajo Wordpress mediante el archivo web.config
en:Increase the safety of his blog under Wordpress via the web.config file
介绍
本教程的目的是增加 安全 他的博客由使用 Microsoft IIS web.config 文件的 Wordpress 提供动力。
本指南有没有索赔,以确保完整 安全 但允许,相对简单,不同的解决方案,以加强 安全 你的博客。
提醒
在进入之前问题的核心,它可能需要提醒一些重要的事情 :
- 选择你的 Wordpress 的自动更新
- 限制尽可能多的插件和使用维护的插件
- 通过删除不使用的那些限制模板/必要和喜欢的网站 "信任" 下载你的博客的主题
- 使用复杂的密码 (数字、 大写英文字母、 特殊字符等。) 和永远不会使用相同的密码
- 定期检查连接的不同日志 (你会发现一篇文章中我们的 Wiki : Comment exploiter rapidement et facilement les journaux de connexion Windows ?)
- effectuez des 备份s et vérifiez l'intégrité de ces dernières.
重要
下面的 web.config 文件是,显然,根据你的 Wordpress 配置和参数的 IP 地址的访问您的 CMS 管理水平制约的适应是相应地调整。 另一方面,附加的配置文件进行了测试与 windows 2008 服务器研发2/IIS 7.5.可能需要根据您的操作系统的版本更改/IIS。
Web.config
下面是一个 web.config 文件,将允许您增加 安全 你下 Wordpress 的博客。 解释是在标记之间文件中的注释。!-- et -->.
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<defaultDocument>
<files>
<clear />
<add value="index.htm" />
<add value="index.html" />
<add value="index.php" />
</files>
</defaultDocument>
<security>
<requestFiltering>
<denyUrlSequences>
<add sequence="ofc_upload_image.php" />
<add sequence="timthumb.php" />
<add sequence="img.php" />
<add sequence="img_x.php" />
<add sequence="thumb.php" />
<add sequence="phpthumb.php" />
<add sequence="kontol.php" />
<add sequence="magic.php.png" />
<add sequence="food.php" />
<add sequence="ph.php" />
<add sequence="fragile.php" />
<add sequence="3xp.php" />
<add sequence="explore.php" />
<add sequence="shell.php" />
<add sequence="petx.php" />
<add sequence="dl-skin.php" />
<add sequence="direct_download.php" />
<add sequence="getfile.php" />
<add sequence="vito.php" />
<add sequence="upload_settings_image.php" />
<add sequence="saint.php" />
<add sequence="lunar.php" />
<add sequence="c99.php" />
<add sequence="r57.php" />
<add sequence="ekin0x.php" />
<add sequence="cmd.php" />
<add sequence="dq.php" />
<add sequence="tryag.php" />
</denyUrlSequences>
<filteringRules>
<filteringRule name="SQLi" scanUrl="true" scanQueryString="true">
<appliesTo>
<add fileExtension=".php" />
</appliesTo>
<denyStrings>
<clear />
<add string="--" />
<add string=";" />
<add string="/*" />
<add string="@" />
<add string="char" />
<add string="alter" />
<add string="begin" />
<add string="cast" />
<add string="create" />
<add string="cursor" />
<add string="declare" />
<add string="delete" />
<add string="drop" />
<add string="end" />
<add string="exec" />
<add string="fetch" />
<add string="insert" />
<add string="kill" />
<add string="open" />
<add string="select" />
<add string="sys" />
<add string="table" />
<add string="update" />
</denyStrings>
</filteringRule>
</filteringRules>
</requestFiltering>
</security>
<directoryBrowse enabled="false" />
<rewrite>
<rules>
<clear />
<rule name="AdminIPs" patternSyntax="ECMAScript">
<match url=".*" />
<conditions logicalGrouping="MatchAny" trackAllCaptures="false">
<add input="{REMOTE_ADDR}" pattern="10\.11\.12\.13" />
</conditions>
<serverVariables>
<set name="HTTP_X_AdminIPAllowed" value="yes" />
</serverVariables>
</rule>
<rule name="Restrict wp-login.php access" stopProcessing="true">
<match url=".*" />
<conditions logicalGrouping="MatchAll" trackAllCaptures="false">
<add input="{REQUEST_FILENAME}" pattern="wp-login.php" />
<add input="{HTTP_X_AdminIPAllowed}" pattern="yes" negate="true" />
</conditions>
<action type="CustomResponse" statusCode="403" statusReason="Forbidden: Access is denied." statusDescription="You do not have permission to view this directory or page using the credentials that you supplied." />
</rule>
</rules>
<outboundRules rewriteBeforeCache="true">
<rule name="Remove Server header">
<match serverVariable="RESPONSE_Server" pattern=".+" />
<action type="Rewrite" value="" />
</rule>
<rule name="Remove ETag">
<match serverVariable="RESPONSE_ETag" pattern=".+" />
<action type="Rewrite" value="" />
</rule>
</outboundRules>
</rewrite>
<httpProtocol>
<customHeaders>
<remove name="X-AspNet-Version" />
<remove name="X-AspNetMvc-Version" />
<remove name="X-Powered-By" />
<remove name="X-Powered-By-Plesk" />
</customHeaders>
</httpProtocol>
</system.webServer>
</configuration>
开启评论自动刷新