在清理过大量被黑客攻击的网站后,根据我们的经验,大部分的后门文件都伪装在/wp-includs/和/wp-content/uploads/这两个文件夹中。一般它们都是名字看起来像WordPress核心文件的php文件,但实际它们并不是。一个可以提高WordPress安全性的方式就是在某些WordPress目录中禁用PHP执行。本文我们将为你展示如何通过.htaccess来禁用某个目录的PHP执行。
用文本编辑器新建一个空白文件,命名为 .htaccess,然后将下面的代码复制进去:
<Files *.php> deny from all </Files>
将这个文件上传到 /wp-content/uploads/ 和 /wp-includes/文件夹中。
代码解释:这段代码会检查目录中所有的PHP文件,并拒绝被访问。