文件与数据安全篇 – WordPress 网站安全指南

一个 WordPress 站点或者说任何其它类型的网站通常会包括文件与数据库，那么在安全防范方面它们也是重点保护的对象。如何确保网站的文件与数据不被篡改、剽窃及禁止未经授权的访问等问题是本篇将介绍的重点内容。

正确保护网站目录与文件的安全

WordPress 的目录与文件结构及权限设置

WordPress 根目录下默认有三个目录与一些文件，文件清单如下：

index.php
license.txt
readme.html
robots.txt
wp-activate.php
wp-blog-header.php
wp-comments-post.php
wp-config.php
wp-config-sample.php
wp-cron.php
wp-login.php
wp-load.php
wp-mail.php
wp-settings.php
wp-signup.php
wp-trackback.php
xmlrpc.php
wp-links-opml.php

这些文件中，wp-config.php 通常是需要重点保护的对象，因为它记录了网站的一些关键配置信息，包括数据库的连接信息（含密码）。如果该文件被篡改或窃取内容，那后果是相当严重的。

因此，一般建议将它的权限设置成 440 ，也就是仅文件所有者、所在用户组可读，其他用户没有任何权限，既不可读也不可写。

chmod 440 wp-config.php

这里需要注意的是，个别插件在首次启用的时候需要对 wp-config.php 文件写入代码，例如 WP Rocket 会写入启用缓存的指令，安装启用此类插件时可以将权限改为 640 ，安装设置完毕后再将权限改回。

chmod 640 wp-config.php

WordPress 默认的三个重要子目录是 wp-content, wp-admin 和 wp-includes。

wp-content 目录：包含了主题、插件以及上传的媒体文件等，该目录必须让所有者拥有可写入的权限，否则会导致安装主题活插件、上传图片等操作失败。
wp-admin 目录： WordPress 的管理后台目录。
wp-includes 目录：包含了 WordPress 核心函数库和其他必要的文件。

推荐将这三个目录及子目录的权限设置成 755，目录下的所有文件权限设置成 644。具体的设置方法可参考：WordPress 文件权限设置指南及操作技巧。

禁止部分关键文件被访问

通过对目录与文件的权限设置可以避免一些基础安全问题，但这还远远不够。可以通过 Web 服务器的设置或 WAF 防火墙禁止 WordPress 的一些关键文件被访问，这样不但可以保护 WordPress 安全，还能有效防范攻击者发送大量的无效请求，消耗服务器资源导致站点变慢或不可用。

如 /wp-content/plugins/ 与 /wp-content/themes/ 目录下的 PHP 文件仅需在后台通过 /wp-admin/ URL 调用，而无需直接访问执行等。

Nginx Web 服务器禁止部分关键文件被访问的配置示例：

server {
    # ... 其他配置 ...

    # 禁止访问指定路径和文件
    location ~* ^/(wp-config\.php|xmlrpc\.php|wp-settings\.php)$ {
        deny all;
    }

    # 禁止访问插件和主题目录中的.php文件
    location ~* ^/wp-content/plugins/.+\.php$ {
        deny all;
    }

    location ~* ^/wp-content/themes/.+\.php$ {
        deny all;
    }

    # 禁止访问/wp-admin/includes/下的.php文件
    location ~* ^/wp-admin/includes/.+\.php$ {
        deny all;
    }

    # 禁止访问/wp-includes/下的.php文件
    location ~* ^/wp-includes/.+\.php$ {
        deny all;
    }

    # 禁止访问指定文件扩展名
    location ~* \.(rar|zip|tar|gz|7z)$ {
        deny all;
    }

}