فایلهای PHP بر روی وبسایت وردپرس شما حکم فایلهای اجرایی را دارند و اگر فراخوانی شوند اجراشده و عملیاتی را انجام میدهند که اغلب با خروجی بصری همراه است یا حتی میتواند چنین نباشد. اگر میخواهید خیالتان از همهچیز راحت باشد و از نواقص امنیتی، بک دورها و غیره در امان باشید، بایستی دسترسی اجرای فایلهای PHP در برخی از پوشهها بهصورت مستقیم را ببندید.
اغلب فایلهایی که در هسته اصلی وردپرس تان(/wp-includes/) قرار دارند بهصورت مستقیم فراخوانی نخواهند شد و بلکه از جای دیگری در برنامه اصلی لود میشوند و این مشکلی ندارد، مشکل اینجاست که اگر فایل مخربی توسط هکر در این پوشه قرار دادهشده باشد به دلیل شباهت در نامگذاریاش شاید متوجه آن نشوید و شاید صدسال یکبار هم به این پوشه مراجعه نکنید و هکر هم از راه دور این فایل را با URL باز میکند!
غیرفعال کردن PHP در پوشههای خاص
برای انجام این کار کافیست در هر پوشهای که مایل هستید(مثل /wp-content/uploads) یک فایل با نام .htaccess ایجاد کرده و کدهایی که در ادامه آمده است را در آن کپی کنید:
<Files *.php>
deny from all
</Files>
تغییرات را ذخیره کنید.
این کد به وب سرور شما دستور میدهد که اجرای PHP را در این پوشه متوقف کند!
دقت داشته باشید که این روش، یک راهحل واقعی برای افزایش امنیت نیست، بلکه راههای ورود و هک شدن سایتتان را سختتر میکند. امنیت واقعی در نبود فایلهای مخرب و پیکربندیهای صحیح در هسته سایتتان است.
اگر نگران امنیت سایت خود هستید میتوانید کانفیگ امنیتی سایت وردپرس خود را به شرق وب بسپارید.
