默认情况下,WordPress使某些目录可写,以便您和您网站上的其他授权用户可以轻松地将主题,插件,图像和视频上传到您的网站。
然而,如果这个功能被黑客滥用,比如他们可以用它来上传后门访问文件或恶意软件到你的网站。
这些恶意文件通常被伪装成核心WordPress文件。它们大多是用PHP编写的,可以在后台运行,以获得对网站各个方面的完全访问。
有一个简单的解决办法。基本上,只需在不需要PHP执行的某些目录中禁用PHP执行。这样,任何PHP文件都不会在这些目录中运行。
在本文中,我们将向您展示如何使用.htaccess文件在WordPress中禁用PHP执行。
使用.htaccess文件在某些WordPress目录中禁用PHP执行
大多数WordPress站点的根文件夹中都有一个.htaccess文件。这是一个强大的配置文件,用于密码保护管理区域,禁用目录浏览,生成SEO友好的URL结构,等等。
默认情况下,.htaccess文件位于WordPress网站的根文件夹中,但您也可以在内部WordPress目录中创建和使用它。
为了保护您的网站不受后门访问文件的影响,您需要创建一个.htaccess文件,并将其上载到站点的/wp-includes/和/wp-content/uploads/目录中。
简单地在你的电脑上创建一个空白文件,使用像记事本这样的文本编辑器。将文件保存为.htaccess并将以下代码粘贴到其中。
<Files *.php>deny from all</Files>
现在把文件保存在你的电脑上。
接下来,您需要将这个文件上传到/wp-includes/和/wp-content/uploads/文件夹中,这些文件位于您的WordPress主机服务器上。
您可以通过FTP客户端或通过托管帐户的cPanel仪表板中的文件管理器应用程序上载它。
额外的话:
Sucuri是市场上最好的WordPress安全插件。它会扫描您的网站,查找可能的威胁,可疑代码,恶意软件和漏洞。
通过在您的网站和可疑流量之间添加防火墙,它还可以有效阻止大多数黑客攻击甚至到达您的网站。
最重要的是,如果您的WordPress网站被黑客入侵,那么他们会为您清理它。
