本页解决什么
面向混合静态站、API 网关和旧 WordPress 目录的 wp-config.php、wp-config.bak、config.php 扫描防御模板。无攻击步骤,只做预防与恢复。
适合小型 API 中转、静态下载商店、Cloudflare/Worker + VPS 混合部署。目标是降低误暴露风险,而不是提供攻击方法。
WordPress wp-config 暴露加固:静态站与 API 网关也要拦截
即使当前站点不是 WordPress,扫描器也会请求 /wp-config.php、/wp-config.bak、/wordpress/wp-config.php 等历史路径。防御成本很低,能减少误暴露和无意义 404 噪音。
wp-config 防泄露WordPress 配置加固Nginx 拦截 config.php静态站安全API 网关安全包
购买安全加固模板包 · USDT 自动交付返回 ClawSkills 模板商店防御清单
- 如果服务器曾经运行过 WordPress,确认旧目录、备份包和迁移文件不在公网 webroot。
- 拦截 wp-config.php、wp-config.*、config.php.bak、数据库导出、压缩备份等敏感文件模式。
- 对旧站迁移目录设置 404/403,不要把源码包或数据库备份留在 /var/www 下。
- 为 Cloudflare/Worker/OpenResty 设置安全响应头和最小日志,避免泄露内部路径。
- 有命中记录时只做防御排查,不访问未知第三方链接、不下载扫描器载荷。
推荐拦截思路
在 Nginx/OpenResty 层优先拒绝敏感文件模式,例如 /.env、*.bak、config.php、docker-compose.yml 和历史调试路径。规则应先在 staging 或本地 Host 头验证,避免误伤真实 API。
如果日志里出现 200 命中,优先轮换密钥、检查源码包/备份包、清理公开缓存,再考虑补充页面和安全头。
关联模板
保护 .env 与 API Key · API 安全事件响应 · PHPInfo 调试页加固 · Symfony/Laravel debug profiler 加固
免责声明
本页只用于合法的自有服务器与站点防御加固,不提供入侵、凭据获取、扫描自动化或绕过访问控制步骤。数字产品为模板与检查清单,不保证收入、排名或安全绝对性。