چگونه از اجراشدن فایل‌های PHP در برخی از پوشه‌های وردپرس جلوگیری کنیم؟

php

php

فایل‌های PHP بر روی وب‌سایت وردپرس شما حکم فایل‌های اجرایی را دارند و اگر فراخوانی شوند اجراشده و عملیاتی را انجام می‌دهند که اغلب با خروجی بصری همراه است یا حتی می‌تواند چنین نباشد. اگر می‌خواهید خیالتان از همه‌چیز راحت باشد و از نواقص امنیتی، بک دورها و غیره در امان باشید، بایستی دسترسی اجرای فایل‌های PHP در برخی از پوشه‌ها به‌صورت مستقیم را ببندید.

اغلب فایل‌هایی که در هسته اصلی وردپرس تان(/wp-includes/) قرار دارند به‌صورت مستقیم فراخوانی نخواهند شد و بلکه از جای دیگری در برنامه اصلی لود می‌شوند و این مشکلی ندارد، مشکل اینجاست که اگر فایل مخربی توسط هکر در این پوشه قرار داده‌شده باشد به دلیل شباهت در نام‌گذاری‌اش شاید متوجه آن نشوید و شاید صدسال یک‌بار هم به این پوشه مراجعه نکنید و هکر هم از راه دور این فایل را با URL باز می‌کند!

غیرفعال کردن PHP در پوشه‌های خاص

برای انجام این کار کافیست در هر پوشه‌ای که مایل هستید(مثل /wp-content/uploads) یک فایل با نام .htaccess ایجاد کرده و کدهایی که در ادامه آمده است را در آن کپی کنید:

<Files *.php>

deny from all

</Files>

تغییرات را ذخیره کنید.

این کد به وب سرور شما دستور می‌دهد که اجرای PHP را در این پوشه متوقف کند!

 

دقت داشته باشید که این روش، یک راه‌حل واقعی برای افزایش امنیت نیست، بلکه راه‌های ورود و هک شدن سایتتان را سخت‌تر می‌کند. امنیت واقعی در نبود فایل‌های مخرب و پیکربندی‌های صحیح در هسته سایتتان است.

اگر نگران امنیت سایت خود هستید می‌توانید کانفیگ امنیتی سایت وردپرس خود را به شرق وب بسپارید.