默认情况下,WordPress 使某些目录可写,以便您和您网站上的其他授权用户可以轻松地将主题、插件、图像和视频上传到您的网站。
但是,如果此功能落入坏人之手,例如可以使用它向您的网站上传后门访问文件或恶意软件的黑客,则可能会滥用此功能。
这些恶意文件通常伪装成核心 WordPress 文件。它们大多是用 PHP 编写的,可以在后台运行,以获得对网站各个方面的完全访问权限。
听起来很可怕,对吧?
不用担心,有一个简单的解决方法。基本上,您只需在不需要的某些目录中禁用 PHP 执行即可。这样做,任何 PHP 文件都不会在这些目录中运行。
在本文中,我们将向您展示如何使用 .htaccess 文件在 WordPress 中禁用 PHP 执行。
使用 .htaccess 文件在某些 WordPress 目录中禁用 PHP 执行
大多数 WordPress 站点的根文件夹中都有一个.htaccess 文件。这是一个功能强大的配置文件,用于密码保护管理区域、禁用目录浏览、生成 SEO 友好的 URL 结构等等。
默认情况下,.htaccess 文件位于 WordPress 网站的根文件夹中,但您也可以在内部 WordPress 目录中创建和使用它。
为了保护您的网站免受后门访问文件的影响,您需要创建一个 .htaccess 文件并将其上传到您网站的 /wp-includes/ 和 /wp-content/uploads/ 目录。
只需使用记事本等文本编辑器(Mac 上的 TextEdit)在您的计算机上创建一个空白文件。将文件另存为 .htaccess 并在其中粘贴以下代码。
现在将文件保存在您的计算机上。
接下来,您需要将此文件上传到WordPress 托管服务器上的 /wp-includes/ 和 /wp-content/uploads/ 文件夹。
您可以使用 FTP 客户端或通过主机帐户的 cPanel 仪表板中的文件管理器应用程序上传它。
一旦添加了带有上述代码的 .htaccess 文件,它将停止任何 PHP 文件在这些目录中运行。
使用这个.htaccess 技巧可以帮助您加强 WordPress 的安全性,但它不是针对已经被黑客入侵的 WordPress 网站的修复。
后门被巧妙地伪装,已经可以隐藏在众目睽睽之下。
如果您想检查您网站上可能存在的后门,那么您需要在您的网站上激活Sucuri。
Sucuri是市场上最好的 WordPress 安全插件。它会扫描您的网站以查找可能的威胁、可疑代码、恶意软件和漏洞。
它还通过在您的网站和可疑流量之间添加防火墙,有效地阻止大多数黑客尝试甚至到达您的网站。
最重要的是,如果您的 WordPress 网站被黑,他们会为您清理。要了解更多信息,您可以查看我们的Sucuri 评论,因为我们多年来一直在使用他们的服务。
我们希望本文能帮助您了解如何在某些 WordPress 目录中禁用 PHP 执行以加强您的网站安全性。如果您正在寻找完整的指南,请查看我们的终极 WordPress 安全指南。