一、核心问题分析

在传统PHP项目架构中（如 WordPress、Discuz!、Typecho 等系统），普遍存在以下安全隐患：

文件暴露风险

• 所有PHP文件默认部署在Web根目录
• 非执行文件（配置文件、日志文件）可直接访问
• 版本控制目录（.git/.svn）可能包含敏感信息

容器化部署隐患

• 构建过程默认包含全部项目文件
• 开发调试文件（.env）可能泄露
• CI/CD凭证可能通过配置文件意外打包

二、典型漏洞案例

以Typecho的Docker化部署为例，原始方案存在严重安全漏洞：

FROM iiqi/php:8.4.6-fpm-nginx-alpine

# 直接拷贝整个项目目录
COPY ./ /opt  

漏洞表现：

• .git/config 可以会包含 Git 访问令牌
• admin 后台目录暴露风险

三、解决方案

1. 构建优化

打包前手工删除 .git 目录。或使用 .dockerignore 忽略 .git 目录

缺点：需要对所有暴露风险都逐个排除，难免会有遗漏。

2. Web服务器加固（Nginx示例）

location ~* \.(git|svn|htaccess|env|log)$ {
    deny all;
}

location ~ /(admin|install) {
    auth_basic "Admin Area";
    auth_basic_user_file /etc/nginx/.htpasswd;
}

四、最佳实践建议

1. 修改项目默认目录结构（以 typecho 为例）
   将入口文件 index.php 放置在 www 子目录，nginx root 指向 root 目录。

/opt                            # 项目根目录
├── www                # Web根目录
│   └── index.php   # 唯一入口文件
├── usr                    # 用户插件/主题目录
├── var                    # 系统源文件
└── storage             # 附件存储目录（读写隔离）

2. 静态文件处理

原主题静态文件直接通过
/usr/themes/default/style.css 访问，建议通过之前的文章《PHP 老网站改造：typecho 动静分离》进行优化。

3. 管理后台访问

原管理后台目录为 /admin，修改后无法直接访问，建议通过配置独立的管理子域名方案。

要求高点的项目，可以将管理子域名设置为内网IP地址，并通过 VPN 转发到服务器子网。

总结

通过上述策略后，可有效解决老PHP老项目中的文件暴露风险，建立从代码仓库到生产环境的完整安全链路。