به جهت امنیت اجرای PHP را غیرفعال کنید

منتشر شده در ۱۳۹۷/۰۳/۰۷ در دستۀ امنیت وردپرس بدون دیدگاه

همیشه اجرای فایل هایی که قابلیت اجرای برنامه های پیچیده را دارند مخرب بوده. مثلاً یک هاستی که تنها از فایل های html ساده پشتیبانی می کند، امنیت بسیار بیشتری دارد، تا یک هاست که PHP را هم اجرا می کند. به این دلیل که همانطور که برنامه های سودمند اجرا می شوند، امکان اجرای کدهای مخرب هم در کار آن میسر است. یکی از علاقه مندی های هکرها هم آپلود فایل ها و اجرای آنها روی هاست است. در درجۀ اول که باید سد دفاعی هاست را طوری تنظیم کنیم که امکان اپلود فایل مخرب وجود نداشته باشد. اما در درجۀ بعدی باید کاری کنیم که اگر هم یک فایل مخرب آپلود شد، امکان اجرایش وجود نداشته باشد. به همین دلیل توصیه می شود برای برخی از مسیرهایی که خطری برای سایت ایجاد نمی کنند، اجرای php را غیر فعال کنیم.

به جهت امنیت اجرای PHP را غیرفعال کنید

به جهت امنیت اجرای PHP را غیرفعال کنید

برای غیر فعال کردن اجرای PHP کافی است از کد htaccess درون این سند که کارش اجرای دستورات وب سرور است، استفاده کنیم. پس این سند را که به صورت مخفی روی هاست ما قرار گرفته است را باز کنید و خطوط زیر را در انتهای آن قرار دهید. دقت داشته باشید که فایل .htaccess بسیار حساس است و باید در ویرایش آن نهایت دقت را داشته باشید. البته بهتر است قبل از هر گونه تغییر در آن، اگر از قبل چنین سندی در مسیر مورد نظر وجود داشت، از آن یک نسخه پشتیبان کپی بگیرید و با یک نام دیگر در همان مسیر داشته باشید. تا اگر مشکلی برای آن سند پیش آمد، امکان جایگزین کردنش وجود داشته باشد.

<Files *.php>
Order Allow, Deny
Deny from all
</Files>

یک نکته دیگر که باید خدمت شما عرض کنم این است که؛ شما درون هر مسیر یا پوشه می توانید فایل .htaccess ای داشته باشید. پس اگر در ریشه هاست این کد را بگذارید ، دستورات موجود در سند htaccess روی تمامی مسیر های هاست شما اعمال می شود. از جمله همین دستوری که در بالا دیدید و برای غیر فعال کردن اجرای PHP بود. پس اجرای PHP به صورت مستقیم روی کل سایت را غیر فعال می کرد.

بنابراین به دلیل اینکه با این کار امکان ایجاد مشکل برای کل سایت پیش می آید، پیشنهاد می شود برای مسیر های wp-content/uploads و همچنین wp-inclueds اقدام به غیر فعال کردن اجرای مستقیم PHP کنید. یعنی در این مسیر ها اگر فایل .htaccess ای وجود نداشت، اول یکی بسازید و سپس محتویات ان را طبق دستور بالا ویرایش نمایید.