**目录权限调整**
根据您的Nginx配置(例如`nginx.conf`文件),调整网站目录所有者和组权限。常见所有者为`www-data`或`nginx`,您也可以自定义。
假设www为您的网站根目录:
<code class="bash">sudo chmod 755 www # 将www目录权限设置为755
sudo find www -type d -exec chmod 755 {} \; # 将www目录下所有子目录权限设置为755
sudo find www -iname "*.php" -exec chmod 644 {} \; # 将www目录下所有php文件权限设置为644
sudo chown -R www-data:www-data www # 将www目录及其所有文件的所有者和组设置为www-data</code>
**WordPress后台登录安全强化**
在您的主题`functions.php`文件中,添加以下代码(请将`'1234567890'`替换为您的自定义密钥):
<code class="php">add_action('login_enqueue_scripts','login_protection');
function login_protection(){
if($_GET['key'] != '1234567890') header('Location: /');
}</code>
使用/wp-login.php?key=1234567890访问后台登录页面。为了方便记忆,建议在Nginx的sites-enabled配置文件中添加以下rewrite规则:
<code class="nginx">rewrite ^/mysecretkey$ /wp-login.php?key=1234567890 last;</code>
将/mysecretkey替换为您易于记忆的密钥,这样访问/mysecretkey即可跳转到后台登录页面,直接访问/wp-admin将被重定向到首页。
**禁用xmlrpc.php访问**
在Nginx的`sites-enabled`站点配置文件中添加以下代码,禁止直接访问`xmlrpc.php`:
<code class="nginx">location ~* /xmlrpc\.php {
deny all;
}</code>
此设置将使任何对xmlrpc.php的直接访问返回403错误。
