默认情况下,WordPress使某些目录可写,以便您和您网站上的其他授权用户可以轻松地将主题,插件,图像和视频上传到您的网站。
但是,如果这个功能出现在错误的手中,例如黑客可以使用它将后门访问文件或恶意软件上传到您的网站,则可能会被滥用。
这些恶意文件通常伪装成核心WordPress文件。它们大多用PHP编写,可以在后台运行,以获得对网站各个方面的完全访问权限。
听起来很可怕,对吧?
不要担心有一个简单的解决方案。基本上,您只需在不需要它的某些目录中禁用PHP执行。这样做,任何PHP文件都不会在这些目录中运行。
在本文中,我们将向您展示如何使用.htaccess文件在WordPress中禁用PHP执行。
使用.htaccess文件在某些WordPress目录中禁用PHP执行
大多数WordPress站点在根文件夹中都有一个.htaccess文件。这是一个功能强大的配置文件,用于密码保护管理区域,禁用目录浏览,生成SEO友好的URL结构等。
默认情况下,.htaccess文件位于WordPress网站的根文件夹中,但您也可以在内部WordPress目录中创建和使用它。
要保护您的网站免受后门访问文件的侵害,您需要创建一个.htaccess文件并将其上传到您网站的/ wp-includes /和/ wp-content / uploads /目录。
只需使用记事本(Mac上的TextEdit)等文本编辑器在计算机上创建一个空白文件即可。将文件另存为.htaccess并将以下代码粘贴到其中。
|
1
2
3
|
<Files *.php>deny from all</Files> |
现在将文件保存在您的计算机上。
接下来,您需要将此文件上传到WordPress托管服务器上的/ wp-includes /和/ wp-content / uploads /文件夹。
您可以使用FTP客户端或主机帐户的cPanel仪表板中的文件管理器应用程序上传它。
一旦添加了带有上述代码的.htaccess文件,它将停止在这些目录中运行任何PHP文件。
使用这个.htaccess技巧可以帮助你强化你的WordPress安全性,但它不是一个已经被黑的WordPress网站的FIX。
后门被巧妙地伪装,并且已经可以隐藏在明显的视野中。
如果您想在您的网站上检查可能的后门,那么您需要在您的网站上激活Sucuri。
Sucuri是市场上最好的WordPress安全插件。它会扫描您的网站,查找可能的威胁,可疑代码,恶意软件和漏洞。
通过在您的网站和可疑流量之间添加防火墙,它还可以有效阻止大多数黑客攻击甚至到达您的网站。
最重要的是,如果您的WordPress网站被黑客入侵,那么他们会为您清理它。要了解更多信息,您可以查看我们的Sucuri评论,因为我们多年来一直在使用他们的服务。
我们希望本文能帮助您了解如何在某些WordPress目录中禁用PHP执行以加强您的网站安全性。如果您正在寻找完整的指南,请查看我们的最终WordPress安全指南。
