自分のルートサーバ(ubuntu/nginx/php-fpm)で2つのウェブサイトを実行しています。今私はもう1つのウェブサイト、ワードプレスのブログを追加したいと思います。あなたが知っているように、ワードプレスはセキュリティ上のリスクになる可能性があるので、私は他のウェブサイトからワードプレスを「分離する」方法を自分自身に求めています。だからワードプレスがハッキングされたとき、私は攻撃者がワードプレス内に閉じ込められるようにしたい。彼がワードプレスのブログよりも「もっと見る」ことができれば致命的になるだろう。お互いからウェブサイトを保護するためのあなたの戦略は何ですか?同じWebサーバで実行されている安全なウェブサイト
権限を設定し、ワードサーバーを実行するときに使用するWebサーバー用の別のユーザー/グループを作成し、suexecを使用してそのユーザー/グループ特権を使用してwordpressを実行します。あなたの他のウェブサイトは、WordPressのユーザーにとっても読みにくいはずです。
私はワードプレスの一般的な国勢調査は "それがハッキングされた"ことは残念です。しかし、私は火のない煙はないと思います。
私は適切な権限、ユーザー/グループなどを作成するのは良い方法だと思っていますが、個人的には予算があれば、これらのアプリケーションを別々のリソースに分けることをお勧めします。
WordPressでの悪用の歴史を考えると、同じボックスに何か価値のあるものを置く危険はありません。
許可を設定すると、必ずしも安全が保証されるわけではありません。
これは他の多くの修正でも使用する必要があります。セキュリティー・プラグインを調査してインストール)
1)のwp-adminの
2のURLを変更します。以下では、これらのいくつかです。それらを使用してワードプレスの前に取得し、ポストをきれいにするいくつかがあります。
3)管理ユーザーのデフォルトのユーザー名を変更します。
4)ファイルをアップロードできる機能を無効にします。フォルダファイルもアップロード可能であることを確認してください。
5)htaccessを使用してwp-adminフォルダを保護することもできます。