Как отключить выполнение PHP в каталогах WordPress

По умолчанию WordPress разрешает осуществлять запись в некоторые системные каталоги, чтобы авторизованные пользователи могли загружать темы оформления, плагины, изображения и видео на сайт.

Но этой возможностью могут воспользоваться хакеры для загрузки вредоносных программ. Они маскируются под файлы ядра WordPress и чаще всего они написаны на PHP. Поэтому могут работать в фоновом режиме, чтобы получить полный доступ ко всем компонентам сайта.

В этой статье мы расскажем, как отключить выполнение PHP в каталогах WordPress с помощью файла .htaccess.

Отключение выполнения PHP в каталогах WordPress с помощью файла .htaccess

Большинство WordPress-сайтов содержат в корневой папке файл .htaccess. Этот конфигурационный файл используется для защиты паролем панели администрирования, отключения просмотра каталогов, создания оптимизированной для SEO структуры URL-адресов и многого другого.

По умолчанию файл .htaccess находится в корневой папке WordPress-сайта. Но вы также можете размещать его во внутренних папках CMS.

Чтобы защитить сайт от загрузки вредоносного программного обеспечения, создайте файл .htaccess и разместите его в каталогах /wp-includes/ и /wp-content/uploads/.

Для этого создайте на компьютере пустой файл с помощью текстового редактора, сохраните его под названием .htaccess и вставьте в него следующий код.

<Files *.php>
deny from all
</Files>

Затем загрузите этот файл в папки /wp-includes/ и /wp-content/uploads/ на сервер. Вы можете загрузить его с помощью FTP-клиента или  утилиты «Диспетчер файлов» в панели управления cPanel.

Когда файл .htaccess с приведенным выше кодом будет добавлен в папку, он остановит запуск любого PHP-скрипта в этом каталоге.

Использование файла .htaccess повышает безопасность WordPress. Но что делать, если сайт уже взломан?

Чтобы проверить сайт на наличие вредоносного программного обеспечения, используйте плагин Sucuri.

Sucuri — это лучший плагин безопасности WordPress, доступный на рынке. Он сканирует сайт на наличия возможных угроз, подозрительного кода, вредоносных программ и уязвимостей.

Данный плагин также эффективно блокирует большинство попыток взлома с помощью встроенного брандмауэра. И если ваш WordPress-сайт будет взломан, то Sucuri  очистит его.

Теперь вы знаете, как отключить выполнение PHP-кода в определенных каталогах WordPress, чтобы повысить безопасность сайта.

Данная публикация представляет собой перевод статьи «How to Disable PHP Execution in Certain WordPress Directories» , подготовленной дружной командой проекта Интернет-технологии.ру

Меню