WordPress是基于php语言开发的,理论上所有目录的php程序文件是可读写的,以便我们将主题、插件、图像、视频等文件上传到网站目录中。
但是,如果这个功能被别有用心的人利用就会他们将一些后门访问文件或恶意软件上传到我们的网站从而黑掉我们网站。
这些恶意文件通常伪装成核心 WordPress 文件,而且大多数都是用 PHP 编写,还可以在后台运行,以获得对网站各个方面的完全访问权限。
所以我们很有必要在某些目录中禁用 PHP 执行,这样一来任何 PHP 文件都不会在这些目录中运行。今天我们就跟大家介绍一下如何使用.htaccess 文件在 WordPress 中禁用 PHP 执行。
我们知道设置好 WordPress固定链接设置教程如何利于SEO
然后设置 WordPress SEO伪静态规则设置Nginx与Apache和https伪静态规则
比如WordPress程序的/wp-includes/和/wp-content/uploads/文件夹
新建文件命名为.htaccess然后内容如下:
<Files *.php> deny from all </Files>
然后将此文件上传到 WordPress 站点的/wp-includes/和/wp-content/uploads/文件夹内即可。添加带有上述代码的.htaccess 文件后,这些目录将禁止外部访问运行任何 PHP 文件。
使用这个.htaccess 技巧可以帮助我们强化 WordPress 站点的安全性,但是也不是万能。
location ~* ^/(wp-content|wp-includes)/.*\.(php|php5)$ { deny all; }
与nginx的WordPress伪静态规则合并就是:
伪静态规则请参考: WordPress seo之在nginx与Apache下的wordpress https伪静态设置方法
location / { try_files $uri $uri/ /index.php?$args; } # Add trailing slash to */wp-admin requests. rewrite /wp-admin$ $scheme://$host$uri/ permanent; location ~* ^/(wp-content|wp-includes)/.*\.(php|php5)$ { deny all; }