建议处理
- 删除或隔离未使用的 WordPress 目录,避免安装向导暴露在静态/API 站点根目录。
- 在 Nginx/OpenResty/Cloudflare 上对 install.php、setup-config.php、wp-admin/setup 路径返回统一 404/403。
- 确认 webroot 内没有旧备份、临时解压目录或测试 WordPress 包。
- 日志只保留路径、状态码和时间,不输出密钥、cookie 或付款信息。
WordPress install / setup-config 扫描锁定清单
近期 ClawSkills 日志里 /wp-admin/install.php 与 /wp-admin/setup-config.php 访问量很高,说明扫描器在寻找未初始化 WordPress 或误放到公网的安装向导。
安全边界:本页只做防御、配置清理、日志降噪和合法验证,不提供攻击步骤、扫描自动化、凭据收集或绕过方法。
日志中常见路径
/wp-admin/install.php/wp-admin/setup-config.php/wordpress/wp-admin/setup-config.php
模板包包含
- Nginx / OpenResty / Cloudflare 防御思路
- 小型 VPS 与静态店铺安全检查表
- 日志脱敏、事件响应和负责披露文案
- 适合 AI API 网关、USDT 自动交付店和静态内容站
FAQ
这是不是教人扫描 WordPress?
不是。页面只讨论如何防御常见安装向导探测,不提供扫描器、绕过或利用步骤。
非 WordPress 站点也需要吗?
需要。很多静态站和 API 网关也会收到这些随机探测,明确 deny/404 能减少噪音并避免误放文件。
模板包包含什么?
防御清单、Nginx/OpenResty/Cloudflare 思路、日志审查表和安全披露文案。
相关防御页面
XML-RPC / wlwmanifest 扫描噪音防护模板wp-login / admin route 扫描与暴力登录防护清单WordPress wp-config 防泄露config.json 防泄露admin/login 扫描处理