PHP站点日常防护
2023/04/21 21:18:39
1、必选:linux安装fail2ban、DDOS Deflate;给linux系统加固,给网站加固
2、可选:安装控制面板aaPanel,这个有界面,操作起来非常的方便。比起手工输入shell效率翻倍。
3、必选:
一:nginx对站点非运行php目录进行屏蔽,防止访问上传的木马文件。 二:读写目录设置权限755
三:运行php文件的用户权限不要有home目录:useradd www -s /sbin/nologin,防止系统提权
四:网站的根目录最好加上.user.ini文件,防止跨站目录访问
五:可选:网站有可疑CC攻击时,加limit_zone
4、必选:mysql用户名对应的host必须为localhost或者127.0.0.1;并且mysql最好设置bind=127.0.0.1防止站外连接操作mysql数据库。
5、部分高危php函数的禁用;最好每个站点php监听不同的端口号,重启一个站点的php,不会影响另外一个站点。
以上信息请在专业运维指导下操作。
2、可选:安装控制面板aaPanel,这个有界面,操作起来非常的方便。比起手工输入shell效率翻倍。
3、必选:
一:nginx对站点非运行php目录进行屏蔽,防止访问上传的木马文件。
- location ~* ^/(data|images|config|static|template)/.*\.php$
- {
- deny all;
- }
- 防止以.为开头的文件的访问
- location ~* ^\..*?$
- {
- deny all;
- }
三:运行php文件的用户权限不要有home目录:useradd www -s /sbin/nologin,防止系统提权
四:网站的根目录最好加上.user.ini文件,防止跨站目录访问
五:可选:网站有可疑CC攻击时,加limit_zone
4、必选:mysql用户名对应的host必须为localhost或者127.0.0.1;并且mysql最好设置bind=127.0.0.1防止站外连接操作mysql数据库。
5、部分高危php函数的禁用;最好每个站点php监听不同的端口号,重启一个站点的php,不会影响另外一个站点。
以上信息请在专业运维指导下操作。