WordPress 是最受欢迎的建站程序，到目前为止，它拥有超过30％的网络市场份额，这也导致了 WordPress 经常会成为安全威胁的目标。因此，对于我们这些 WordPress 网站所有者来说，最好采取一些措施来加强网站的安全性。

WordPress 可以运行在 Apache 或 Nginx 环境中，在《适用于WordPress的15个 .htaccess 安全代码片段》中，我们分享了一些Apache下的安全规则，今天我们将分享一些增强WordPress安全性的Nginx规则。

1.限制访问XMLRPC

WordPress中的XMLRPC端点（根目录下的xmlrpc.php文件）用于允许外部应用程序与WordPress数据交互。例如，它可以允许添加、创建或删除文章。但是，XMLRPC也是一种常见的攻击媒介，攻击者可以在未经授权的情况下执行这些操作。所以最好允许从您信任的授权IP请求XMLRPC，如下所示：

1. location ~* /xmlrpc.php$ {
2.     allow 172.0.1.1;
3.     deny all;
4. }

添加上述内容后，应该在浏览器中访问 xmlrpc.php 时会看到403错误响应代码。

2.限制请求类型

大多数情况下，您的网站可能只执行两种类型的请求：

• GET – 从你的网站上检索数据
• POST – 将数据提交到你的网站

所以，只允许我们的网站执行这两种请求类型，也是增强安全性的做法。

1. if ($request_method !~ ^(GET|POST)$ ) {
2.     return 444;
3. }

3.禁止直接访问PHP文件

在神不知鬼不觉的情况下，黑客可能会将PHP文件上传到你的服务器中，然后通过访问该恶意文件执行某些操作，即可在你的网站上创建后门。所有我们应该禁止直接访问任何php文件：

1. location ~* /(?:uploads|files|wp-content|wp-includes|akismet)/.*.php$ {
2.     deny all;
3.     access_log off;
4.     log_not_found off;
5. }

4.禁止访问某些敏感文件

和PHP文件相似，以点开头的文件，比如 .htaccess、.user.ini以及.git可能包含敏感信息。为了更安全，最好禁用对这些文件的直接访问。

1. location ~ /\.(svn|git)/* {
2.     deny all;
3.     access_log off;
4.     log_not_found off;
5. }
6. location ~ /\.ht {
7.     deny all;
8.     access_log off;
9.     log_not_found off;
10. }
11. location ~ /\.user.ini {
12.     deny all;
13.     access_log off;
14.     log_not_found off;
15. }

5.隐藏Nginx和PHP版本

最好不要对外公开Nginx以及PHP版本，如果特定的Ningx或PHP版本暴露出漏洞，攻击者又发现你的服务器上的存在对应的漏洞版本，那可能就很危险了。以下规则可以隐藏Nginx和PHP版本：

1. #隐藏 nginx 版本.
2. server_tokens off;
4. #隐藏 PHP 版本
5. fastcgi_hide_header X-Powered-By;
6. proxy_hide_header X-Powered-By;

6.安全标头

安全标头（ header ）通过指示浏览器行为提供额外的安全层。例如，X-Frame-Options，可以防止你的网站被嵌入到iframe框架中进行加载。而Strict-Transport-Security会让浏览器采用HTTPS方式加载站点。

1. add_header X-Frame-Options SAMEORIGIN;
2. add_header Strict-Transport-Security "max-age=31536000";
3. add_header X-Content-Type-Options nosniff;
4. add_header X-XSS-Protection "1; mode=block";

7.阻止访问子目录

如果你的网站在子目录上运行，例如/blog，则最好允许访问此子目录。这意味着，其他类似子目录的访问结构，例如， /82jdkj/?.php 将是攻击者经常试图访问的目标，所以我们就应该将 /blog 以外的子目录限制访问。

1. location ~ ^/(?!(blog)/?) {
2.     deny all;
3.     access_log off;
4.     log_not_found off;
5. }

8.减少垃圾评论

垃圾评论可能不会破坏你的网站，但它会使你的数据库中写入这些垃圾内容，从而作为广告推广。要减少垃圾评论内容，您可以将以下规则添加到Nginx配置以及像Akismet这样的垃圾评论防护插件。

1. set $comment_flagged 0;
2. set $comment_request_method 0;
3. set $comment_request_uri 0;
4. set $comment_referrer 1;
6. if ($request_method ~ "POST"){
7.     set $comment_request_method 1;
8. }
10. if ($request_uri ~ "/wp-comments-post\.php$"){
11.     set $comment_request_method 1;
12. }
14. if ($http_referer !~ "^https?://(([^/]+\.)?site\.com|jetpack\.wordpress\.com/jetpack-comment)(/|$)"){
15.     set $comment_referrer 0;
16. }
18. set $comment_flagged "${comment_request_method}${comment_request_uri}${comment_referrer}";
19. if ($comment_flagged = "111") {
20.     return 403;
21. }

9.限制请求

WordPress登录页面wp-login.php是暴力攻击的常见端点。攻击者会尝试通过批量提交用户名和密码组合进行登录尝试，可能无法破解你的密码，但是对服务器资源占用非常大，可能会导致网站无法访问。

为此，我们可以应用一个规则来限制页面每秒可以处理的请求数。这里我们将限制设置为每秒2个请求，超过次数的请求将被阻止。

1. limit_req_zone $binary_remote_addr zone=WPRATELIMIT:10m rate=2r/s;
2. location ~ \wp-login.php$ {
3.     limit_req zone=WPRATELIMIT;
4. }

10.禁用目录列表

最后一旦也非常重要，你应该禁用目录列表，以便攻击者无法知道目录中的内容。

1. autoindex off;

原文出自 https://www.hongkiat.com/blog/nginx-rules-for-wordpress-security/

80%的人都看过的文章

• 适用于WordPress的15个 .htaccess 安全代码片段
• 高性能Web服务器 Nginx 1.15.10 主线版发布
• 如何更改WordPress博客页面上显示的文章数量
• 如何从WordPress评论表中删除网站URL字段
• WordPress如何替换网站URL地址中的域名？
• WordPress优化：加速网站运行的5个基本技巧
• 如何在WordPress中添加自定义滚动条?
• 避免26个常见的WordPress错误（经验教训）