Артём Санников

В большинстве случаев, злоумышленники загружают вредоносный код в директорию uploads, а затем выполняют его без каких-либо проблем. Поэтому необходимо запретить исполнение *.php файлов в директории uploads. В этой статье будет продемонстрирован пример запуска *.php файла, а затем установлен запрет на его исполнение.

Открываем каталог wp-content и переходим в директорию uploads

Создаём новый файл run.php, а затем открываем его.

В файле run.php напишем следующий скрипт:

<?php
	echo 'Скрипт запущен';
?>

Сохраняем внесенные изменения.

Открываем браузер и переходим по следующему адресу — http://localhost/my-site/wp-content/uploads/, открылась страница с содержимым директории uploads. Запускам скрипт — run.php

Скрипт run.php успешно отработал. Такой ситуации быть не должно, поэтому, сейчас установим запрет на выполнение *.php файлов.

Возвращаемся в директорию uploads. Создаём новый файл .htaccess, а затем открываем его.

В файле .htaccess напишем следующий код:

# Отключаем выполнение PHP скриптов в Uploads
<Files *.php>
deny from all
</Files>

Сохраняем внесенные изменения.

Возвращаемся в браузер на страницу со скриптом run.php, обновляем страницу и получаем закономерную ошибку — Access forbidden. Если у вас повторно выполнился скрипт *.php, значит вы где-то допустили ошибку.

Метки: Wordpress, Безопасность.