به طور پیشفرض وردپرس تعدادی از دایرکتوریها را قابل نوشتن میکند تا شما و کاربران این امکان رو داشته باشید که در سایت خود قالبها، پلاگینها، تصاویر و ویدئو آپلود کنید. اما داستان فایلهای PHP متفاوت هست. این فایلها قابلیت ایجاد تغییر از راه دور روی سایت شما خواهند داشت و این فاجعه است! پس حتما از روش جلوگیری از اجرای فایل PHP در پوشه wp-content استفاده کنید.
این قابلیت ممکنه به ضرر ما باشد. اگر این امکان در دسترس هکرها قرار بگیرد میتونند روی سایت شما فایلهای دسترسی از راه دور و یا نرمافزارهای مخربی آپلود کنند. این فایلهای مخرب اغلب بهعنوان فایلهای اصلی وردپرس پنهان میشوند.
این فایلها قالبا در زبان PHP نوشته شده و این قابلیت رو دارند که در پسزمینه اجرا شوند تا یک دسترسی همه جانبه و کامل به سایت وردپرسی شما داشته باشند.
درسته که این موضوع باعث ترس بسیاری از افراد شود اما یک راه حل بسیار آسان برای این مشکل وجود داره که با انجام آن میتونید مشکل رو برطرف کنید. این امکان برای شما وجود دارد که اجرای PHP را در دایرکتوریهای خاصی که به آن را نیازی ندارید غیرفعال کنید. انجام چنین کاری باعث میشود که هر فایل PHP داخل آن دایرکتوری اجرا نخواهد شد.
در این مقاله ما به شما نحوه غیرفعال کردن اجرای PHP در WordPress با استفاده از فایل htaccess را نشان خواهیم داد.
جلوگیری از اجرای فایل PHP با استفاده از htaccess
معمولا فایلهای htaccess در پوشه root بسیاری از سایتهای وردپرسی موجود است. در واقع این فایلها یک پیکربندی بسیار قدرتمند هستند که برای محافظت از رمز عبور پنل مدیریت، غیرفعال کردن مرورگر پوشه، سازگار کردن برای سئو با ساختار URL و بسیاری موارد دیگر.
به صورت پیشفرض فایلهای .htaccess در پوشه root وبسایت وردپرسی شما وجود دارد اما شما قادرید از اون در دایرکتوریهای داخلی وردپرس استفاده کنید.
برای اینکه بتونید از سایت خودتون در برابر backdoor محافظت کنید باید یک فایل .htaccess ایجاد کنید و و اون رو در wp-includes، plugins، uploads و themes سایت خود آپلود کنید.
برای این کار باید یک فایل خالی توسط ویرایشگر متن روی کامپیوتر خود ایجاد کنید و فایل را بهعنوان .htaccess ذخیره کنید. پس از انجام این مراحل باید کد زیر را در آن فایل ذخیره کنید.
<Files *.php>
deny from all
</Files>
حالا باید فایل رو روی کامپیوتر خود ذخیره کنید.
بعد از طی کردن تمامی موارد بالا نیاز دارید که این فایل رو در پوشههای wp-includes و /wp-content/uploads/ که بر روی سرور هاست وردپرس شما آپلود کنید.
شما میتونید با استفاده از سرور گیرنده FTP یا از طریق برنامه مدیریت فایل یا داشبورد CPanel حساب کاربری خود این فایلها را آپلود کنید.
وقتیکه فایل .htaccess رو با کدهایی که بالا آورده شده اضافه کنید در واقع اجرای هر فایل PHP رو در این دایرکتوری متوقف میکنید.
استفاده از این ترفند .htaccess به شما کمک می کند در بالا بردن امنیت وردپرس خودتون رو بیشتر کنید. اما این موضوع برای سایت وردپرسی که هک شده باشد مناسب نیست و نمیتونه اونو تعمیر کنه.
هیچوقت فراموش نکنید که بک دورها هوشمندانه جاسازی خواهند شد و میتوانند از دید مستقیم پنهان شوند! پس همیشه از روشهای افزایش امنیت وردپرس استفاده کنید.
- مشکلی دارید؟ جواب خود را در پست فروم بگیرید
- منبع : بیست اسکریپت لطفا رعایت کنید