wp-admin/install.php 扫描防御清单
访问日志持续出现 /wp-admin/install.php、setup-config.php 或 XML-RPC 探测时,用这份防御清单为静态站、OpenResty 和 API 网关做安全加固。
边界:合法防御/开发接入;不做扫描自动化、漏洞利用、刷量、虚假收益或任何未授权访问。
日志/搜索信号
/wp-admin/install.php、/wp-admin/setup-config.php、/xmlrpc.php、wlwmanifest.xml
wp-admin/install.phpWordPress 安装页扫描OpenResty 安全加固静态站防护
执行清单
- 确认服务器是否真的运行 WordPress;静态站/API 站不要暴露任何 wp-admin 路径。
- 在 OpenResty/Nginx 中对 /wp-admin/、/xmlrpc.php、wlwmanifest.xml 返回统一 404/403,不暴露版本或目录结构。
- 检查历史部署包和备份目录,删除安装器、测试 PHP、旧插件残留。
- 保留最小化日志字段,避免记录 token、cookie、API key 或完整查询串。
- 用 harmless HEAD/GET 请求验证响应码和安全头,不运行扫描器、不做攻击复现。
免责声明
页面用于安全防御、开发教程与数字产品自动交付导流;不构成投资建议、收益承诺或安全保证。