保护我的WordPress文件和目录

时间:2013-07-26 作者:Anthony

我是WordPress的新手,并在Amazon EC2上安全地托管它。我的问题是,如何正确保护WordPress文件和目录?

我的文件权限设置为644,我的目录设置为755。

[ec2-user@ip-xx-xxx-xxx-xx my_sub_directory]$ ls -l
total 160
-rw-r--r-- 1 ftpuser 65534   395 Jan  8  2012 index.php
-rw-r--r-- 1 ftpuser 65534 19929 May  6  2012 license.txt
-rw-r--r-- 1 ftpuser 65534  9177 Jun 21 17:26 readme.html
-rw-r--r-- 1 ftpuser 65534  4663 Nov 17  2012 wp-activate.php
drwxr-xr-x 9 ftpuser 65534  4096 Jul 23 23:12 wp-admin
-rw-r--r-- 1 ftpuser 65534   271 Jan  8  2012 wp-blog-header.php
-rw-r--r-- 1 ftpuser 65534  3522 Apr 10  2012 wp-comments-post.php
-rw-r--r-- 1 ftpuser root   3596 Jul 23 20:27 wp-config.php
drwxr-xr-x 5 ftpuser 65534  4096 Jul 23 17:44 wp-content
-rw-r--r-- 1 ftpuser 65534  2718 Sep 23  2012 wp-cron.php
drwxr-xr-x 9 ftpuser 65534  4096 Jun 21 19:39 wp-includes
-rw-r--r-- 1 ftpuser 65534  1997 Oct 23  2010 wp-links-opml.php
-rw-r--r-- 1 ftpuser 65534  2408 Oct 26  2012 wp-load.php
-rw-r--r-- 1 ftpuser 65534 29217 Jun 21 03:02 wp-login.php
-rw-r--r-- 1 ftpuser 65534  7723 Sep 25  2012 wp-mail.php
-rw-r--r-- 1 ftpuser 65534  9899 Nov 22  2012 wp-settings.php
-rw-r--r-- 1 ftpuser 65534 18219 Sep 11  2012 wp-signup.php
-rw-r--r-- 1 ftpuser 65534  3700 Jan  8  2012 wp-trackback.php
-rw-r--r-- 1 ftpuser 65534  2719 Sep 11  2012 xmlrpc.php
还有我的.htaccess 文件试图进一步保护wp-config.php 文件

# PROTECT WP-CONFIG
<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>
当我尝试访问我的wp配置时。浏览器中的php文件如下:

http://ec2-xx-xx-xxx-xx.compute-1.amazonaws.com/my_sub_directory/wp-config.php
我收到以下错误:

被禁止的

您没有访问/my\\u sub\\u目录/wp配置的权限。此服务器上的php。

但当我访问目录中的另一个文件时,例如,wp-cron.php 像这样:

http://ec2-xx-xx-xxx-xx.compute-1.amazonaws.com/my_sub_directory/wp-cron.php
我得到一张空白的白纸。我在想,这不可能是安全的。

So my question is, how do I properly secure the following files?

[ec2-user@ip-xx-xxx-xxx-xx my_sub_directory]$ ls -a
.            wp-activate.php       wp-cron.php        wp-settings.php
..           wp-admin              wp-includes        wp-signup.php
.htaccess    wp-blog-header.php    wp-links-opml.php  wp-trackback.php
index.php    wp-comments-post.php  wp-load.php        xmlrpc.php
license.txt  wp-config.php         wp-login.php
readme.html  wp-content            wp-mail.php

1 个回复
最合适的回答,由SO网友:montrealist 整理而成

你为什么要保护他们?依我拙见,并非所有人都需要保护。

在任何情况下,在您的.htaccess 文件:

1: 限制访问wp-config.php

<Files wp-config.php>
    order allow, deny
    deny from all
</Files>
2:限制访问.htaccess 它本身

<Files .htaccess>
   order allow,deny
   deny from all
</Files>
3:在您的wp-login.php

<FilesMatch "wp-login.php">
    AuthType Basic
    AuthName "Who are you?"
    AuthUserFile "/path/to/passwd"
    require valid-user
</FilesMatch>

结束
标签: security   amazon   小码农  

相关推荐

多站点,直接将图片上传到Amazon S3

我创建了一个多站点网络,但我注意到人们正在上传大量图像文件,这些文件阻塞了我的服务器空间。有没有办法修改默认的网络主题(用户仅限于使用1个标准主题),以便将所有图像上载到我的S3帐户,然后按照常规在Wordpress媒体上载器中显示?我希望能够自动做到这一点,而不是让我的所有网络用户都必须手动安装插件,因为他们中的一些人并不完全精通技术。