为什么现在补这页
美国 VPS 日志出现插件文件管理器、随机 PHP 文件和 wp-blog.php 类探测。即使站点不是 WordPress,也应该用这些信号检查静态根目录和反代规则。
WP blog PHP shell-scan hardening for non-WordPress sites
针对 /wp-blog.php、/public/wp-blog.php、/wp-blog-header.php 等旧 WordPress/PHP 探测路径,给静态站、USDT 自动交付店和 AI API 网关提供防御型 Nginx/OpenResty 加固与验证清单。
wp-blog.php hardeninglegacy PHP probe defenseWordPress shell scanstatic API store securityNginx deny PHP
购买安全加固 ZIP(USDT 自动交付)查看主套件说明返回商店
独立防御资料:不隶属于 WordPress、Cloudflare、OpenAI 或任何被提到的平台;不承诺收入、安全绝对有效或搜索排名。
模板包包含什么
- Nginx/OpenResty deny 规则思路
- 静态站 PHP-free webroot 清单
- 日志脱敏与事件记录表
- Cloudflare Worker security headers 示例
- 安全验证命令,不包含扫描自动化
适用对象
AI API 网关、USDT 自动交付店、小型 VPS 静态站、Cloudflare Pages/Worker 混合站,以及被通用扫描器频繁访问的开发者站点。
防御性处理框架
- 确认 webroot 下没有未使用的 PHP、备份、.env、.git 与上传可执行目录。
- 对 WordPress/PHP legacy 路径返回统一 404/403,避免泄露框架细节。
- 把 API Key、收款地址、订单 token 与日志分开管理;日志中不打印密钥。
- 上线后用 HEAD/GET 验证响应码、header 和 sitemap,不做攻击性扫描。
相关页面
WordPress install lockdownPHP test file cleanupGit config exposure hardeningOpenResty security template