云服务器
在服务器上搭建WordPress网站时,为确保基本功能正常运行并兼顾安全性,需在安全组(防火墙规则)中开放以下端口:
1. 必开端口(核心功能)
- 80 (HTTP)
- 用于未加密的网页访问(建议配合重定向到443端口提升安全性)。
- 443 (HTTPS)
- 必须开放,用于SSL加密访问(通过Let’s Encrypt等证书实现HTTPS)。
- 22 (SSH)
- 用于远程管理服务器(强烈建议限制为可信IP,或改用非标准端口+密钥登录)。
2. 可选端口(按需开放)
- 21 (FTP) / 20 (FTP数据)
- 使用FTP上传文件时需开放(建议改用SFTP/SSH替代,更安全)。
- 3306 (MySQL)
- 仅当需要远程管理数据库时开放(务必限制为特定管理IP,本地访问可不开放)。
- 25 (SMTP) / 465 (SMTPS) / 587 (Submission)
- 用于邮件发送(如WordPress用户注册/通知等,推荐使用第三方SMTP服务如SendGrid,避免直接开放)。
3. 不建议开放的端口
- 8080/8888等备用HTTP端口
- 除非有特殊需求(如测试环境),否则无需开放。
- 所有其他端口
- 遵循最小权限原则,避免开放无关端口(如Windows远程桌面3389、Redis 6379等)。
安全建议
- 仅开放必要的端口,关闭所有默认开放的无用端口。
- 限制访问源IP(如仅允许办公IP访问SSH)。
- 启用防火墙工具(如
ufw/iptables或云平台的安全组规则)。 - 定期更新 WordPress、插件及系统补丁。
示例规则(以AWS/Aliyun安全组为例)
| 端口 | 协议 | 源IP | 用途 |
|---|---|---|---|
| 80 | TCP | 0.0.0.0/0 | HTTP访问 |
| 443 | TCP | 0.0.0.0/0 | HTTPS访问 |
| 22 | TCP | 你的办公IP | SSH管理 |
| 465 | TCP | SMTP服务IP | 邮件发送 |
通过合理配置端口和访问控制,可有效降低被攻击风险。如需更高安全性,可结合WAF(如Cloudflare)和入侵检测系统(如Fail2Ban)。