Как отключить выполнение PHP в определенных каталогах WordPress
По умолчанию WordPress делает определенные каталоги доступными для записи, чтобы вы и другие авторизованные пользователи на вашем веб-сайте могли легко загружать темы, плагины, изображения и видео на ваш сайт.
Однако этой возможностью можно злоупотребить, если она попадет в чужие руки, например, хакеры, которые могут использовать ее для загрузки файлов бэкдор-доступа или вредоносных программ на ваш сайт.
Эти вредоносные файлы часто маскируются под файлы ядра WordPress. Они в основном написаны на PHP и могут работать в фоновом режиме, чтобы получить полный доступ ко всем аспектам вашего сайта.
Звучит страшно, правда?
Не волнуйтесь, это легко исправить. По сути, вы просто отключите выполнение PHP в определенных каталогах, где оно вам не нужно. При этом никакие файлы PHP не будут запускаться в этих каталогах.
В этой статье мы покажем вам, как отключить выполнение PHP в WordPress с помощью файла .htaccess.
Отключение выполнения PHP в определенных каталогах WordPress с помощью файла .htaccess
Большинство сайтов WordPress имеют файл .htaccess в корневой папке. Это мощный файл конфигурации, используемый для защиты паролем области администратора, отключения просмотра каталогов, создания дружественной для SEO структуры URL-адресов и многого другого.
По умолчанию файл .htaccess находится в корневой папке вашего веб-сайта WordPress, но вы также можете создавать и использовать его во внутренних каталогах WordPress.
Чтобы защитить свой сайт от файлов бэкдор-доступа, вам необходимо создать файл .htaccess и загрузить его в каталоги / wp-includes / и / wp-content / uploads /.
Просто создайте пустой файл на своем компьютере с помощью текстового редактора, например Блокнота (TextEdit на Mac). Сохраните файл как .htaccess и вставьте в него следующий код.
<Files *.php>deny from all</Files>
Теперь сохраните файл на вашем компьютере.
Затем вам необходимо загрузить этот файл в папки / wp-includes / и / wp-content / uploads / на вашем сервере хостинга WordPress.
Вы можете загрузить его с помощью FTP-клиента или через приложение File Manager на панели управления cPanel вашей учетной записи хостинга.
После добавления файла .htaccess с приведенным выше кодом он остановит запуск любого файла PHP в этих каталогах.
Использование этого трюка .htaccess поможет вам повысить безопасность WordPress, но это не ИСПРАВЛЕНИЕ для уже взломанного сайта WordPress.
Бэкдоры умело замаскированы и уже могут быть спрятаны у всех на виду.
Если вы хотите проверить возможные бэкдоры на своем веб-сайте, вам необходимо активировать Sucuri на своем веб-сайте.
Sucuri - лучший плагин безопасности WordPress на рынке. Он сканирует ваш сайт на предмет возможных угроз, подозрительного кода, вредоносных программ и уязвимостей.
Он также эффективно блокирует большинство попыток взлома даже на ваш сайт, добавляя брандмауэр между вашим сайтом и подозрительным трафиком.
Самое главное, если ваш сайт WordPress взломают, они уберут его за вас. Чтобы узнать больше, вы можете проверить наш обзор Sucuri, потому что мы пользуемся их услугами в течение многих лет.
Мы надеемся, что эта статья помогла вам узнать, как отключить выполнение PHP в определенных каталогах WordPress, чтобы повысить безопасность вашего сайта. Если вы ищете полное руководство, ознакомьтесь с нашим полным руководством по безопасности WordPress.