Как в nginx выставить location на обработку /index.php и всех .php файлов в папке /wp-admin/ ?

Question

[Dmitriy Ronzhin]

Есть подозрение что сайт на Wordpress хотят взломать. На сайте ЧПУ все запросы перенаправляются на index.php, остальные файлы в корне не обрабатываются. Для админке нужны php файлы в папке /wp-admin . Все остальные php файлы надо отдавать с ошибкой 403

Comments

[Dmitriy Ronzhin]

Сам задал, сам ответил... для меня подходят следующие локации

location / {
try_files $uri $uri/ /index.php?q=$uri&$args;
}
location ~* ^.+.(js|css|png|jpg|jpeg|gif|ico)$ {
access_log off;
expires max;
}
location ~ (index|wp-login)\.php$ {
limit_req zone=dynamic burst=3 nodelay;
# fastcgi_split_path_info ^(.+\.php)(.*)$;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;

include fastcgi_params;
fastcgi_param QUERY_STRING $query_string;
fastcgi_param REQUEST_METHOD $request_method;
fastcgi_param CONTENT_TYPE $content_type;
fastcgi_param CONTENT_LENGTH $content_length;
fastcgi_intercept_errors on;
fastcgi_ignore_client_abort off;
fastcgi_connect_timeout 60;
fastcgi_send_timeout 180;
fastcgi_read_timeout 180;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
fastcgi_temp_file_write_size 256k;
}
location ~* ^/wp-admin/.*.(php)$ {
# fastcgi_split_path_info ^(.+\.php)(.*)$;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fastcgi_params;
}

location ~ \.php {
deny all;
}

location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
## Disable viewing .htaccess & .htpassword
location ~ /\.ht {
deny all;
}

Answer 1

[Рустамка Воронцов]

location /wp-admin {
        auth_basic "Administrator Login";
        auth_basic_user_file /var/to/path/.htpasswd;
}

Элементарное решение ваших проблем на джинсе)

Comments

[Dmitriy Ronzhin]

смысл не обезопасить /wp-admin . А зепретить выполняться через внешние запросы .php файлов