CLOUD云枢
结论: 搭建WordPress网站时,安全组需开放80(HTTP)、443(HTTPS)、22(SSH)端口,并建议限制IP访问来源以提升安全性。若使用FTP或数据库远程管理,需额外开放21(FTP)和3306(MySQL)端口,但应尽量避免暴露高风险端口。
必须开放的端口
-
HTTP(80端口)
- 用于用户通过浏览器访问网站的默认端口。
- 注意:若启用HTTPS,80端口仅用于重定向到443端口。
-
HTTPS(443端口)
- 核心安全端口,启用SSL/TLS加密传输数据。
- 必须配置有效的证书(如Let’s Encrypt)。
-
SSH(22端口)
- 用于服务器远程管理,建议:
- 仅对管理员IP开放。
- 禁用密码登录,改用密钥认证。
- 用于服务器远程管理,建议:
可选开放的端口(按需配置)
-
FTP(21端口)
- 用于文件传输,但安全性较低,建议:
- 使用SFTP(基于SSH)替代。
- 若必须开放,限制IP并启用强密码。
-
MySQL(3306端口)
- 仅当需要远程管理数据库时开放,但:
- 高风险,建议通过SSH隧道或本地PHPMyAdmin访问。
- 配置防火墙仅允许可信IP。
不建议开放的端口
- 其他未使用的端口
- 如Telnet(23)、RDP(3389)等,易受攻击。
- 全开放ICMP协议
- 可限制为必要ICMP类型(如ping响应)。
安全增强建议
- 最小化原则:仅开放必要端口,定期审查规则。
- IP白名单:对SSH、FTP等高危端口限制访问来源。
- 日志监控:记录端口访问行为,及时告警异常流量。
- 云服务商工具:利用AWS Security Groups、阿里云安全组等配置细粒度规则。
总结:80、443、22端口是WordPress的基础必需端口,其他端口需根据实际需求谨慎开放,并通过防火墙、密钥认证等措施降低风险。