秒懂云WordPress网站服务器安全组端口配置指南
结论
搭建WordPress网站时,安全组必须开放80(HTTP)、443(HTTPS)、22(SSH)端口,并根据需求选择性开放3306(MySQL)或21(FTP)端口。 合理配置端口规则是保障网站安全与可访问性的关键。
必须开放的端口
1. HTTP(80端口)与HTTPS(443端口)
- 80端口:用于未加密的HTTP流量,是用户访问网站的基础端口。
- 443端口:用于加密的HTTPS流量,强烈建议强制启用HTTPS以提升安全性(可通过Let’s Encrypt免费证书实现)。
- 若不开放这两个端口,用户将无法通过浏览器访问网站。
2. SSH(22端口)
- 用于远程管理服务器(如通过
ssh user@your_server_ip登录)。 - 安全建议:
- 禁用密码登录,仅允许密钥认证。
- 修改默认SSH端口(如2222)以减少暴力破解风险(需同步调整安全组规则)。
可选开放的端口
3. MySQL(3306端口)
- 仅当需要远程管理数据库时才开放(例如通过Navicat或PHPMyAdmin连接)。
- 安全建议:
- 限制访问IP(如仅允许本地或特定管理IP)。
- 避免使用默认端口,可改为非标准端口(如3307)。
4. FTP(21端口)或SFTP(22端口)
- 用于文件上传/管理(如通过FileZilla)。
- 推荐使用SFTP(基于SSH)替代FTP,因为FTP传输未加密,存在安全隐患。
5. 自定义调试端口(如9000)
- 若使用PHP-FPM或Xdebug等工具,需按需开放相应端口。
禁止开放的端口
- 高危端口:如23(Telnet)、135-139(Windows NetBIOS)、3389(RDP,除非是Windows服务器)。
- 无明确用途的端口:避免“全开”或开放范围过大的端口(如0-65535)。
安全组配置最佳实践
- 最小化开放原则:仅开放必要端口,关闭冗余入口。
- IP白名单:对SSH、MySQL等管理端口限制访问源IP。
- 定期审查规则:删除不再使用的旧规则,避免遗留风险。
- 启用防火墙:结合服务器内防火墙(如
ufw或iptables)双重防护。
总结
WordPress服务器的安全组核心端口为80、443和22,其他端口(如3306、21)需按需谨慎开放。 通过严格限制端口和IP访问,可显著降低被攻击风险,同时确保网站正常运行。