Găsirea unui fișier PHP ciudat în folderul de încărcări WordPress poate fi alarmantă. Cunoaștem bine acest sentiment, deoarece am ajutat sute de utilizatori care s-au confruntat cu aceeași problemă.
Acest lucru indică adesea o breșă de securitate pe care mulți oameni o ignoră. Hackerii pot abuza de directoarele scriibile pentru a încărca scripturi malițioase care le oferă acces de tip backdoor la site-ul dvs. web.
Vestea bună este că există o modalitate simplă de a bloca una dintre metodele lor preferate de atac. Dezactivând execuția PHP în anumite foldere, faceți din site-ul dvs. o țintă mult mai greu de atins.
Vă vom arăta exact cum să faceți acest lucru pas cu pas. Să parcurgem cum să adăugați acest strat important de securitate pe site-ul dvs. WordPress.
De ce să dezactivați execuția PHP în anumite directoare WordPress?
În mod implicit, WordPress face anumite directoare scriibile, astfel încât dvs. și alți utilizatori autorizați de pe site-ul dvs. web să puteți încărca cu ușurință teme, pluginuri, imagini și videoclipuri pe site-ul dvs. web.
Cu toate acestea, această capacitate poate fi abuzată dacă ajunge pe mâini greșite, cum ar fi hackeri care o pot folosi pentru a încărca fișiere de acces backdoor sau malware pe site-ul dvs. WordPress.
Aceste fișiere malițioase sunt adesea deghizate în fișiere de bază WordPress. Sunt scrise în principal în PHP și pot rula în fundal pentru a obține acces complet la fiecare aspect al site-ului dvs. web.
Sună înfricoșător, nu-i așa?
Nu vă faceți griji. Există o soluție ușoară pentru asta. Pur și simplu dezactivați execuția PHP în anumite directoare unde nu aveți nevoie de ea. Făcând acest lucru, niciun fișier PHP nu va rula în interiorul acelor directoare.
Să vedem cum să îmbunătățiți securitatea WordPress prin dezactivarea execuției PHP folosind fișierul .htaccess.
Dezactivarea Execuției PHP în Anumite Directoare WordPress Folosind Fișierul .htaccess
Majoritatea site-urilor WordPress au un fișier .htaccess în folderul rădăcină. Acesta este un fișier de configurare utilizat de Apache, unul dintre cele mai populare tipuri de software pentru servere web. (Dacă gazda dvs. folosește un server diferit, cum ar fi Nginx, nu vă faceți griji, acoperim acest lucru în secțiunea FAQ de mai jos.)
Acest fișier de configurare puternic este utilizat pentru a proteja cu parolă zona de administrare, a dezactiva navigarea în director, a genera o structură de URL prietenoasă cu SEO și multe altele.
Implicit, fișierul .htaccess se află în folderul rădăcină al site-ului dvs. WordPress, dar puteți crea și utiliza fișiere .htaccess suplimentare în interiorul directoarelor interioare WordPress.
Pentru a vă proteja site-ul web de fișierele de acces backdoor, trebuie să creați un fișier .htaccess și să îl încărcați în directoarele /wp-includes și /wp-content/uploads ale site-ului dvs. Protejarea folderului /wp-content/uploads este deosebit de importantă, deoarece acesta este cel mai frecvent loc în care hackerii încearcă să plaseze scripturi malițioase.
Pur și simplu creați un fișier nou pe computerul dvs. folosind un editor de text precum Notepad (pe Windows) sau TextEdit (pe Mac). Apoi, salvați fișierul gol cu numele .htaccess
Acum, copiați și lipiți următorul cod în fișierul dvs. .htaccess:
<Files *.php>
Require all denied
</Files>
Acest cod îi spune serverului dvs. să blocheze orice încercare de a rula direct un fișier care se termină cu .php din interiorul acestui folder. După ce ați lipit codul, salvați fișierul.
Apoi, trebuie să încărcați acest fișier în folderele /wp-includes și /wp-content/uploads de pe serverul dvs. de hosting WordPress.
Îl puteți încărca folosind un client FTP sau aplicația Manager de fișiere din panoul de control cPanel al contului dvs. de hosting.
Odată ce fișierul .htaccess cu codul de mai sus este adăugat, acesta va opri rularea oricăror scripturi PHP în aceste directoare.
Verificarea backdoor-urilor în WordPress folosind Sucuri
Utilizarea acestei truc .htaccess vă ajută să vă întăriți securitatea WordPress, dar nu va repara un site WordPress care a fost deja compromis.
Backdoor-urile sunt deghizate inteligent și pot fi deja ascunse la vedere.
Dacă doriți să verificați posibilele backdoor-uri pe site-ul dvs., atunci trebuie să activați Sucuri pe site-ul dvs.
Sucuri este cel mai bun plugin de securitate WordPress de pe piață. Scanează site-ul dvs. pentru posibile amenințări, coduri suspecte, malware și vulnerabilități.
De asemenea, blochează eficient majoritatea tentativelor de hacking de a ajunge la site-ul dvs. prin adăugarea unui firewall între site-ul dvs. și traficul suspect.
Cel mai important, dacă site-ul dvs. WordPress este compromis, acesta îl va curăța pentru dvs. Pentru a afla mai multe, puteți citi recenzia Sucuri, deoarece folosim serviciul lor de ani de zile.
Poți afla mai multe în ghidul nostru despre cum să găsești și să remediezi backdoor-urile într-un site WordPress compromis.
Întrebări frecvente despre dezactivarea execuției PHP
Iată câteva dintre cele mai frecvente întrebări pe care le primim despre întărirea securității WordPress prin dezactivarea execuției PHP în anumite directoare.
1. Ce este un fișier .htaccess și unde se află?
Fișierul .htaccess este un fișier de configurare a serverului utilizat de serverele web Apache. În WordPress, acesta controlează lucruri precum structura URL-urilor site-ului dvs. și poate fi utilizat pentru a adăuga reguli de securitate. De obicei, îl puteți găsi în folderul rădăcină principal al instalării dvs. WordPress.
2. Dezactivarea execuției PHP în folderul de încărcări va afecta site-ul meu?
Nu, această măsură de securitate nu ar trebui să afecteze funcționarea normală a site-ului dvs. Directoarele wp-content/uploads și wp-includes nu sunt destinate să conțină fișiere PHP care rulează direct. Teme și pluginurile dvs. își păstrează fișierele necesare în foldere separate unde execuția PHP este în continuare permisă.
3. Este acest truc .htaccess suficient pentru a securiza complet site-ul meu?
Deși acesta este un pas de securitate eficient și important, este doar o parte dintr-un plan de securitate complet. O strategie completă ar trebui să includă, de asemenea, utilizarea unui plugin de securitate WordPress, menținerea actualizată a tuturor temelor și pluginurilor dvs. și impunerea unor parole puternice pentru toți utilizatorii.
4. Ce se întâmplă dacă gazda mea web folosește Nginx în loc de Apache?
Fișierul .htaccess funcționează doar pe serverele web Apache. Dacă furnizorul dvs. de găzduire folosește Nginx, va trebui să adăugați o regulă diferită în fișierul de configurare al serverului dvs. pentru a obține același rezultat. Vă recomandăm să contactați echipa de suport a gazdei dvs. pentru ajutor cu codul corect pentru platforma lor.
Ce ar trebui să fac dacă primesc o eroare după adăugarea fișierului .htaccess?
În cazuri foarte rare, este posibil să vedeți o eroare „500 Internal Server Error” după încărcarea fișierului. Acest lucru înseamnă, de obicei, că gazda dvs. web folosește o versiune mai veche a software-ului serverului Apache.
Dacă se întâmplă acest lucru, pur și simplu deschideți fișierul .htaccess și înlocuiți codul pe care l-ați adăugat cu următorul fragment în schimb:
<Files *.php>
deny from all
</Files>
Salvați fișierul și încărcați-l din nou. Această versiune mai veche a codului face același lucru, dar este compatibilă cu serverele învechite.
Ghiduri experte despre cum să îmbunătățiți securitatea WordPress
Sperăm că acest articol v-a ajutat să învățați cum să dezactivați execuția PHP în anumite directoare WordPress pentru a consolida securitatea site-ului dumneavoastră. De asemenea, ați putea dori să învățați și alte tehnici de securitate. Iată câteva dintre cele mai bune ghiduri ale noastre despre îmbunătățirea securității WordPress:
- Ghidul complet de securitate WordPress (Pas cu Pas)
- Cum să efectuezi un audit de securitate WordPress (Listă completă)
- Cum să scanezi site-ul tău WordPress pentru cod potențial malițios
- Cele mai bune scanere de securitate WordPress pentru detectarea malware-ului și a hacking-urilor
- Cum să găsiți și să eliminați injecția de linkuri spam în WordPress
- Cum să adăugați autentificare în doi pași în WordPress (Metodă gratuită)
- Cum să adăugați întrebări de securitate pe ecranul de autentificare WordPress
- Ce, De ce și Cum funcționează cheile de securitate WordPress
Dacă ți-a plăcut acest articol, te rugăm să te abonezi la canalul nostru de YouTube pentru tutoriale video WordPress. Ne poți găsi, de asemenea, pe Twitter și Facebook.
tom
referitor la dezactivarea execuțiilor php în folderul wp-includes pentru a preveni executarea oricărui cod de tip backdoor etc. – dar par să existe multe, multe fișiere php în acel folder, de exemplu: admin-bar.php sau author-template.php, pentru a numi câteva care par importante pentru a putea fi executate și mă întreb dacă plasarea fișierului htaccess în acel folder nu va opri executarea acestor fișiere și posibil va perturba funcțiile de bază ale wordpress? apropo, mulțumesc pentru multe articole bune pe site-ul dvs.
Suport WPBeginner
Cu excepția cazului în care aveți un plugin specific care adaugă funcționalitate fișierelor, nu ar trebui să existe o problemă care să împiedice execuția PHP în foldere.
Admin
tom
Mulțumesc pentru răspuns. Configurația mea este simplă: astra/spectra, malcare și all in one seo, în acest caz voi plasa .htaccess și în wp-includes. Mulțumesc din nou pentru multe articole grozave
Mrteesurez
Văd asta ca pe o formă excelentă de securizare a unui site web prin dezactivarea execuției PHP în foldere. Conform acestui articol, doar două directoare sunt securizate, ce se întâmplă cu celelalte? Sunt securizate natural sau hackerii nu au nevoie de ele în timpul tentativei?
Suport WPBeginner
Alte secțiuni ale fișierelor site-ului dvs. necesită, în mod normal, acces mai strict sau au fișiere php necesare pentru funcționarea site-ului dvs.
Admin
Jiří Vaněk
Mulțumesc pentru aceste sfaturi de siguranță. Am creat un fișier htaccess și îl voi încărca prin FTP. Am un site web pe propriul meu server, deci întrebarea securității îmi revine în totalitate. Mulțumesc pentru următorul pas în a face WordPress-ul meu puțin mai sigur din nou.
Unarine Leo Netshifhefhe
Am și această alertă pe pluginul meu Updraft, unde backup-urile nu se fac. Poate fi din cauza fișierului htaccess?
„Directorul de backup nu a putut fi creat…
Folderul există, dar serverul dvs. web nu are permisiunea de a scrie în el. Va trebui să consultați furnizorul dvs. de găzduire web pentru a afla cum să setați permisiunile pentru ca un plugin WordPress să scrie în director. (wp-content/updraft)
Suport WPBeginner
Aceasta pare a fi o problemă legată de permisiunile fișierelor/folderelor, ar trebui să contactați furnizorul dvs. de găzduire și ei vă pot ajuta, puteți, de asemenea, să consultați ghidul nostru de mai jos:
https://www.wpbeginner.com/beginners-guide/how-to-fix-file-and-folder-permissions-error-in-wordpress/
Admin
Brian Prom
FYI: aveți o greșeală de scriere în fragmentul de cod pentru fragmentul .htaccess.
Utilizarea fragmentului de cod așa cum este (fără / la final) împiedică încărcarea imaginilor.
Suport WPBeginner
Thank you for pointing that out, our code should be fixed
Admin
Vitor Gonçlaves
Am găsit câteva fișiere .php în folderul uploads create de pluginuri. Pot presupune că acest lucru nu va cauza o problemă sau trebuie să analizez fiecare plugin individual?
Suport WPBeginner
Dacă contactați pluginurile dvs., acestea vă pot informa despre specificul acelor fișiere.
Admin
nirbo
Mulțumesc pentru informații
Suport WPBeginner
You’re welcome
Admin
cliff denney
mulțumesc mult
Suport WPBeginner
You’re welcome
Admin
Suman Samanta
Scriere excelentă! Aveți un talent pentru scrierea informativă. Conținutul dvs. m-a impresionat dincolo de cuvinte. Am multă admirație pentru scrisul dvs. Vă mulțumesc pentru toate contribuțiile valoroase pe acest subiect.
Suport WPBeginner
Thank you, glad you enjoy our writing
Admin
Thato
Băieți, cred că am stricat fișierul htaccess, site-ul meu nu afișează deloc imagini
Suport WPBeginner
Salut Thato,
Puteți descărca fișierul dvs. .htaccess pe computer ca backup și apoi să îl ștergeți de pe site-ul dvs. Accesați zona de administrare WordPress Setări » Permalinks și faceți clic pe butonul de salvare a modificărilor. Acest lucru ar trebui să regenereze fișierul dvs. .htaccess.
Admin
Shawn Rebelo
Nu face wp-content.
Fă wp-content/uploads.
Și asta:
permite comandă,refuză
refuză de la toți
Foarte mult pe servere.
Hardik
Afectează fișierele de încărcare pentru a încărca pe pagini web?
Am constatat că după încărcarea acestui fișier htaccess în folder, multe imagini din multe postări nu sunt afișate.
Chuck Cochems
Da, refuzarea accesului la fișierele php din directorul includes strică site-ul, deoarece includerea respectă restricțiile .htaccess.
Dar restricția asupra directorului de încărcări este foarte inteligentă și ar trebui să fie acolo .BY DEFAULT în directorul de încărcări și nu există niciun motiv bun pentru care să nu fie prezentă.
Stan
Care este metoda pentru serverele IIS?
Mulțumesc,
KOnnie
ZOMG! nu poți pur și simplu dezactiva accesul la scriere pentru folderul /wp-includes?
De ce să te lupți cu consecințele când poți preveni cauza?
Jonathan Hodgson
Nu ar împiedica WordPress să poată actualiza fișierele în actualizările de bază?
Jeff Wigal
Puteți plasa acest lucru și în fișierul dvs. virtualhost Apache, care va realiza același lucru:
Comanda permite,refuză
Refuză de la toți
anton
cum să implementez acest cod dacă avem o combinație de litere mici și mari la extensia fișierului, de exemplu on.php pe site-ul meu funcționează, dar nu funcționează dacă fișierul este numit cu.PHp, .PHP .PhP sau o combinație a acestora, scriptul backdoor este încă executat
Mulțumesc
Timothée Moulin
Puteți pune acest lucru în fișierul dvs. .htaccess
Ordin Refuză,Permite
Refuză de la Toți
Shams
Salut Syed,
Mulțumesc pentru un post atât de informativ și, de fapt, oferă o soluție excelentă pentru a salva WordPress de hackeri.
Vladimir
Salut!
Am urmat toate instrucțiunile dvs. din acest articol, dar nu funcționează...
Mulțumesc
Aurélien Debord
Un post atât de util cu sfaturi atât de bune și rapide.
Mulțumesc
Ramon
Am creat un fișier .htaccess în folderul wp-includes. Site-ul arăta ok, dar editorul meu WYSIWYG din paginile de administrare nu funcționa. A trebuit să elimin din nou fișierul .htaccess. (WP 3.9.1)
Wes
De asemenea, am găsit folderul meu wp-includes plin de fișiere php și nu pot vedea cum utilizarea acelui fișier .htaccess de acolo nu ar strica ceva. L-am folosit în directorul de încărcări.
Personal editorial
Uneori, funcționează prost (în funcție de pluginul pe care îl utilizați), dar nu tot timpul.
Admin
Roșu
scuzați-mi engleza mea proastă…
Am urmat toate instrucțiunile dumneavoastră din acest articol, dar când merg la tabloul de bord pentru a adăuga o nouă postare, secțiunea mea de postări a fost dată peste cap. … suspectez că fișierul .htaccess a fost problema.
când l-am șters, postarea a fost în regulă.
Personal editorial
În ce director ați încărcat fișierul .htaccess care a cauzat această problemă?
Admin
Chris
Am adăugat fișierul .htaccess în wp-includes și nu am avut probleme. Mulțumesc mult pentru sfaturi.
Brad
Am încercat acest lucru în directorul meu /wp-includes/, care este plin de fișiere php. Desigur, nu am mai putut accesa site-ul. Chiar ați vrut să includeți directorul includes pentru utilizare cu fișierul .htaccess?
Te refereai cumva la /wp-includes/images ?
Personal editorial
Nu. Ne refeream la folderul /wp-includes/. Avem acest lucru în folderul nostru wp-includes. Dacă din orice motiv vă strică site-ul, atunci ștergeți fișierul .htaccess din folderul dvs. wp-includes.
Admin
Brad
Ciudat, folderul meu wp-includes are peste 90 de fișiere php în el. Și strică site-ul. L-am scos imediat.
Dar l-am pus în folderul /wp-content/uploads/ și funcționează perfect acolo. Mulțumesc pentru răspuns
Alfred
Plasarea unui fișier htaccess care refuză accesul la fișierele php într-un director plin de fișiere php pare destul de ciudat. Presupun că este pentru că aceste fișiere sunt în mod normal doar incluse, nu executate direct. Dacă este așa, nu ar fi mai bine să refuzați pur și simplu accesul la întregul director?