По умолчанию WordPress делает доступными для записи определенные каталоги, чтобы вы и другие авторизованные пользователи на вашем сайте могли легко загружать темы, плагины, изображения и видео на ваш сайт.
Однако этой возможностью можно злоупотреблять, если она попадает не в те руки, например хакеры, которые могут использовать ее для загрузки файлов доступа к бэкдору или вредоносных программ на ваш сайт.
Эти вредоносные файлы часто маскируются под основные файлы WordPress. Они в основном написаны на PHP и могут работать в фоновом режиме, чтобы получить полный доступ ко всем аспектам вашего сайта.
Звучит ужасно, правда?
Не волнуйтесь, это легко исправить. По сути, вы просто отключаете выполнение PHP в определенных каталогах, где вам это не нужно. При этом любые файлы PHP не будут работать внутри этих каталогов.
В этой статье мы покажем вам, как отключить выполнение PHP в WordPress с помощью файла .htaccess.
^
Отключение выполнения PHP в некоторых каталогах WordPress с использованием файла .htaccess
Большинство сайтов WordPress имеют файл .htaccess в корневой папке. Это мощный конфигурационный файл, используемый для защиты паролем административной области, отключения просмотра каталогов, создания структуры URL, оптимизированной для SEO, и многого другого.
По умолчанию файл .htaccess находится в корневой папке вашего сайта WordPress, но вы также можете создавать и использовать его внутри своих внутренних каталогов WordPress.
Чтобы защитить ваш сайт от файлов доступа к бэкдору, вам нужно создать файл .htaccess и загрузить его в каталоги / wp-includes / и / wp-content / uploads / вашего сайта.
Просто создайте пустой файл на вашем компьютере с помощью текстового редактора, такого как Блокнот (TextEdit на Mac). Сохраните файл как .htaccess и вставьте в него следующий код.
^
^
Теперь сохраните файл на своем компьютере.
Затем вам нужно загрузить этот файл в папки / wp-includes / и / wp-content / uploads / на вашем хостинг-сервере WordPress.
Вы можете загрузить его с помощью FTP-клиента или с помощью приложения «Диспетчер файлов» на панели управления cPanel вашей учетной записи хостинга.
^
Как только файл .htaccess с вышеуказанным кодом будет добавлен, он остановит любой PHP-файл для запуска в этих каталогах.
Использование этого трюка .htaccess поможет вам укрепить безопасность WordPress, но это не FIX для уже взломанного сайта WordPress.
Бэкдоры искусно замаскированы и уже могут быть скрыты на виду.
Если вы хотите проверить возможные бэкдоры на вашем сайте, то вам нужно активировать Sucuri на вашем сайте.
^
Sucuri – лучший плагин безопасности WordPress на рынке. Он сканирует ваш сайт на предмет возможных угроз, подозрительного кода, вредоносных программ и уязвимостей.
Он также эффективно блокирует большинство попыток взлома даже на вашем сайте, добавляя межсетевой экран между вашим сайтом и подозрительным трафиком.
Самое главное, что если ваш сайт WordPress будет взломан, то он очистит его для вас. Чтобы узнать больше, вы можете проверить наш обзор Sucuri, потому что мы используем их услуги в течение многих лет.
Мы надеемся, что эта статья помогла вам узнать, как отключить выполнение PHP в определенных каталогах WordPress, чтобы повысить безопасность вашего сайта. Если вы ищете полное руководство, ознакомьтесь с нашим полным руководством по безопасности WordPress.
