默认情况下,wordpress使某些目录可写,以便您和您网站上的其他授权用户可以轻松地将主题,插件,图像和视频上传到您的网站。
但是,如果这个功能出现在错误的手中,例如黑客可以使用它将后门访问文件或恶意软件上传到您的网站,则可能会被滥用。
这些恶意文件通常伪装成核心wordpress文件。它们大多用php编写,可以在后台运行,以获得对网站各个方面的完全访问权限。
听起来很可怕,对吧?
不要担心有一个简单的解决方案。基本上,您只需在不需要它的某些目录中禁用php执行。这样做,任何php文件都不会在这些目录中运行。
在本文中,我们将向您展示如何使用.htaccess文件在wordpress中禁用php执行。
使用.htaccess文件在某些wordpress目录中禁用php执行大多数wordpress站点在根文件夹中都有一个.htaccess文件。这是一个功能强大的配置文件,用于密码保护管理区域,禁用目录浏览,生成seo友好的url结构等。
默认情况下,.htaccess文件位于wordpress网站的根文件夹中,但您也可以在内部wordpress目录中创建和使用它。
要保护您的网站免受后门访问文件的侵害,您需要创建一个.htaccess文件并将其上传到您网站的/ wp-includes /和/ wp-content / uploads /目录。
只需使用记事本(mac上的textedit)等文本编辑器在计算机上创建一个空白文件即可。将文件另存为.htaccess并将以下代码粘贴到其中。
1
2
3
<files *.php>
deny from all
</files>
现在将文件保存在您的计算机上。
接下来,您需要将此文件上传到wordpress托管服务器上的/ wp-includes /和/ wp-content / uploads /文件夹。
您可以使用ftp客户端或主机帐户的cpanel仪表板中的文件管理器应用程序上传它。
一旦添加了带有上述代码的.htaccess文件,它将停止在这些目录中运行任何php文件。
使用这个.htaccess技巧可以帮助你强化你的wordpress安全性,但它不是一个已经被黑的wordpress网站的fix。
后门被巧妙地伪装,并且已经可以隐藏在明显的视野中。
如果您想在您的网站上检查可能的后门,那么您需要在您的网站上激活sucuri。
sucuri是市场上最好的wordpress安全插件。它会扫描您的网站,查找可能的威胁,可疑代码,恶意软件和漏洞。
通过在您的网站和可疑流量之间添加防火墙,它还可以有效阻止大多数黑客攻击甚至到达您的网站。
最重要的是,如果您的wordpress网站被黑客入侵,那么他们会为您清理它。要了解更多信息,您可以查看我们的sucuri评论,因为我们多年来一直在使用他们的服务。
我们希望本文能帮助您了解如何在某些wordpress目录中禁用php执行以加强您的网站安全性。如果您正在寻找完整的指南,请查看我们的最终wordpress安全指南。