Как запретить исполнение PHP файлов в директории uploads
В большинстве случаев, злоумышленники загружают вредоносный код в директорию uploads, а затем выполняют его без каких-либо проблем. Поэтому необходимо запретить исполнение *.php файлов в директории uploads. В этой статье будет продемонстрирован пример запуска *.php файла, а затем установлен запрет на его исполнение.
Открываем каталог wp-content и переходим в директорию uploads
Создаём новый файл run.php, а затем открываем его.
В файле run.php напишем следующий скрипт:
<?php echo 'Скрипт запущен'; ?>
Сохраняем внесенные изменения.
Открываем браузер и переходим по следующему адресу — http://localhost/my-site/wp-content/uploads/, открылась страница с содержимым директории uploads. Запускам скрипт — run.php
Скрипт run.php успешно отработал. Такой ситуации быть не должно, поэтому, сейчас установим запрет на выполнение *.php файлов.
Возвращаемся в директорию uploads. Создаём новый файл .htaccess, а затем открываем его.
В файле .htaccess напишем следующий код:
# Отключаем выполнение PHP скриптов в Uploads <Files *.php> deny from all </Files>
Сохраняем внесенные изменения.
Возвращаемся в браузер на страницу со скриптом run.php, обновляем страницу и получаем закономерную ошибку — Access forbidden. Если у вас повторно выполнился скрипт *.php, значит вы где-то допустили ошибку.
Метки: Wordpress, Безопасность.