Security

使用 nginx 保护 wordpress 的5个提示

Jason / 二月 15, 2019

保护您的网站并不像编写内容那样令人愉快, 但它同样重要.
在互联网上搜索 “保护 wordpress”, 你会看到不缺少讨论各种插件的文章, 承诺使您的网站更加安全。你会发现很多东西都是有效的–我甚至使用了一些这样的插件。然而, 插件只能做这么多。有安全意识的 wordpress 管理员也应该警惕安装太多插件, 因为这样做增加了攻击的表面积。出于这些原因, 我更喜欢使用 nginx 作为我的 wordpress 网站的附加安全层。以下是5个有用的提示, 以硬化一个 wordpress 网站与 nginx。 read more

Security

与 nginx 的客户证书认证

rsa 令牌是增强身份验证的一种形式

当涉及到网络上的身份验证时, 我们几乎都熟悉的密码-山之王, 臭名昭著的既缺陷, 也其无处不在。在密码之外, 您经常会遇到身份验证方案, 如令牌共享 (例如, oauth 或 rsa 令牌)。您很少看到的另一种方法是低级客户端证书形式的身份验证。客户端证书与更流行的服务器证书相关, 并且存在于相同的 tls 握手中。换句话说, 来自 web 浏览器的询问服务器是否具有 ssl 证书的初始连接也涉及服务器询问浏览器是否具有 ssl 证书。由于前者在 https 中的使用, 在过去十年中, 前者的采用意义重大。客户端证书仅对身份验证有用, 因此相比之下, 它们的采用比服务器证书更受限。尽管它缺乏受欢迎程度和一些繁琐的方面, 客户端证书是兼容的现代桌面浏览器和 web 服务器。对于某些用例, 为了 ssl 证书的绝对安全, 放弃密码的绝对便利是有意义的。 read more