我有两个网站运行在我自己的根服务器上(ubuntu/nginx/php-fpm)。现在我想添加一个网站,一个WordPress的博客。正如你知道的WordPress可能是一个安全风险,这就是为什么我问自己如何“分离”WordPress的其他网站。所以当wordpress被黑客攻击时,我想让攻击者被困在wordpress中。如果他能够“看到更多”而不是WordPress博客,那将是致命的。你有什么策略来保护彼此的网站?在同一个网络服务器上运行的安全网站
设置权限并创建单独的用户/组以供webserver在运行wordress时使用,并使用suexec使用该用户/组权限运行wordpress。请注意,您的其他网站应该对wordpress用户不可读。
我发现不幸的是,wordpress普通普查是“什么时候被黑客入侵”的。但后来我想没有火没有冒烟。
我认为创建正确的权限,用户/组等是一个很好的方法,但个人而言,如果有预算,我建议完全将这些应用程序分离到不同的资源。
考虑到WordPress的漏洞利用历史,我不会冒险将任何有价值的东西放在同一个盒子上。
确保您设置权限将有所帮助,但这不一定会确保安全。
这应该与许多其他修补程序一起使用。以下是其中的一些:
1)更改URL为可湿性粉剂管理员
2)调查和安装安全插件。有些人会在wordpress使用它们之前清理获取和发布的内容。
3)更改管理员用户的默认用户名。
4)禁用允许上传文件的功能。确保上传的文件夹文件不可写入。
5)你也可以使用htaccess保护wp-admin文件夹。