为了安全起见，经验法则是禁用您不需要的任何东西。在理想的安全世界中，问题实际上是相反的——wordpress需要哪些功能才能正常工作。首先，不要激活任何不使用的PHP扩展，然后过滤掉激活的扩展中的不安全函数。

由于这是一个服务器范围的设置，仅查看wordpress需要什么还不够，还需要查看服务器上的其他应用程序需要什么，但在大多数web服务器设置中，应该禁用这些功能-exec,passthru,shell_exec,system,proc_open,popen. 它们的独特属性使它们更加危险，即能够在系统上执行任何操作，这可以通过在所有服务器上拥有限制性权限来缓解，但实际上，需要遵守规则才能正确地执行，更好地避免打开这种攻击途径。此外，这些功能还绕过wordpress安全模型，该模型可能允许用户访问他们本不应该访问的数据。

如上所述，由于每个服务器都可能有不同的PHP模块处于活动状态，因此不应将其视为一个完整的列表，而应将其视为一个起点，您必须检查您使用的每个模块，以查看它们是否包含禁用可能更好的功能。

继续讲几件重要的事情，马克·卡普伦（MarkKaplen）提供了一个很好的答案，这个答案应该被接受。

disable-functions

以下是更广泛的列表：

exec, passthru, shell_exec, system, proc_open, popen, show_source, apache_child_terminate, apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_getpwuid, posix_uname, pclose, dl, disk_free_space, diskfreespace, disk_total_space, pcntl_exec, proc_close, proc_get_status, proc_nice, proc_terminate, symlink, link, putenv, opcache_get_configuration, opcache_get_status

还有一件事需要说明process under which PHP 正在运行。即使您在PHP中拥有强大的功能，但如果PHP执行的进程没有执行这些操作的访问权限，它们也无能为力。

因此，从安全角度来看，应该创建一个小岛。让您的www-data 用户仅在该岛上生活。假设这个岛是/var/www 文件夹

从/etc/passwd 您可以查看有关www-data 使用者默认情况下，应如下所示：

www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin