جلوگیری از اجرای فایل‌های PHP در پوشه wp-content وردپرس

به‌طور پیش‌فرض، وردپرس اجازه می‌ده که بعضی از دایرکتوری‌ها قابل نوشتن باشن؛ این یعنی شما و کاربران می‌تونید قالب، افزونه، تصویر یا ویدئو آپلود کنید. اما داستان فایل‌های PHP فرق داره! اگه این نوع فایل‌ها توی پوشه‌هایی مثل wp-content اجرا بشن، می‌تونن از راه دور تغییراتی روی سایتت اعمال کنن و این یعنی یه فاجعه امنیتی! پس دقت کنید تا نحوه جلوگیری از اجرای فایل PHP در پوشه wp-content را یاد بگیرد.

اگه هکرها بتونن به این پوشه‌ها دسترسی پیدا کنن، خیلی راحت فایل‌های مخرب یا ابزارهای کنترل از راه دور رو آپلود می‌کنن. این فایل‌ها معمولاً خودشون رو به‌عنوان فایل‌های اصلی وردپرس جا می‌زنن و توی پس‌زمینه اجرا می‌شن تا یه دسترسی کامل به سایتت داشته باشن.

درسته که این موضوع ممکنه ترسناک باشه، ولی یه راه‌حل ساده و مؤثر وجود داره: می‌تونی اجرای فایل‌های PHP رو توی دایرکتوری‌هایی که نیازی بهش نداری، غیرفعال کنی. این کار باعث می‌شه هر فایل PHP داخل اون پوشه‌ها، حتی اگه آپلود بشه، قابل اجرا نباشه.

در ادامه همین مقاله، قراره بهت یاد بدیم چطور با استفاده از فایل .htaccess جلوی اجرای فایل‌های PHP رو بگیری و یه لایه امنیتی مهم به سایتت اضافه کنی.

جلوگیری از اجرای فایل PHP در پوشه wp-content با استفاده از htaccess

فایل‌های .htaccess یکی از ابزارهای قدرتمند وردپرس برای کنترل امنیت و تنظیمات سرور هستن. به‌صورت پیش‌فرض، این فایل توی پوشه‌ی root سایت وردپرسی وجود داره و برای کارهایی مثل محافظت از پنل مدیریت، غیرفعال کردن مرورگر پوشه‌ها، بهینه‌سازی URL برای سئو و کلی تنظیم دیگه استفاده می‌شه.

اما یه نکته مهم اینه که می‌تونی از همین فایل توی پوشه‌های داخلی وردپرس هم استفاده کنی؛ مثلاً برای جلوگیری از اجرای فایل‌های PHP در مسیرهایی مثل wp-includes، plugins، uploads و themes.

همچنین مقاله آموزش حذف متا تگ ‌Generator در وردپرس را در این صفحه مطالعه کنید.

چرا این کار مهمه؟ چون فایل‌های PHP می‌تونن از راه دور اجرا بشن و اگه هکر بتونه یه فایل مخرب رو توی این پوشه‌ها آپلود کنه، ممکنه کنترل کامل سایتت رو به‌دست بگیره. برای جلوگیری از این اتفاق، باید اجرای PHP رو توی این مسیرها ببندی.

مراحل کار:
یه فایل خالی با ویرایشگر متن (مثل Notepad) بساز.

اون رو با نام .htaccess ذخیره کن.

داخل فایل، کد زیر رو قرار بده:

<Files *.php>
deny from all
</Files>

حالا این فایل رو آپلود کن داخل پوشه‌هایی که نمی‌خوای فایل PHP توشون اجرا بشه (مثل wp-content/uploads یا wp-includes).

با همین چند قدم ساده، جلوی اجرای فایل‌های PHP در مسیرهای حساس رو گرفتی و یه لایه امنیتی مهم به سایتت اضافه کردی

حالا که فایل .htaccess رو ساختی و کدهای لازم رو داخلش قرار دادی، باید اون رو روی کامپیوترت ذخیره کنی. بعدش لازمه این فایل رو در پوشه‌های حساس مثل wp-includes و wp-content/uploads/ روی هاست وردپرس آپلود کنی.

برای آپلود می‌تونی از یکی از این روش‌ها استفاده کنی:

اتصال به سرور از طریق نرم‌افزار FTP Client

استفاده از File Manager داخل هاست

یا از طریق داشبورد CPanel حساب کاربری‌ات

وقتی این فایل رو اضافه کردی، اجرای هر فایل PHP داخل اون دایرکتوری‌ها متوقف می‌شه. این یعنی یه لایه امنیتی مهم به سایتت اضافه کردی و جلوی خیلی از حملات احتمالی رو گرفتی.

البته یادت باشه: این ترفند برای پیشگیری طراحی شده، نه برای تعمیر سایت هک‌شده. اگه سایتی قبلاً آلوده شده باشه، این روش نمی‌تونه مشکل رو برطرف کنه.

همچنین مقاله آموزش اسکن وردپرس برای پیدا کردن فایل‌های مخرب و تروجان با افزونه و بدون افزونه را در این صفحه مطالعه کنید.

و یه نکته خیلی مهم: هکرها معمولاً بک‌دورها رو خیلی هوشمندانه مخفی می‌کنن تا به‌راحتی دیده نشن. پس همیشه باید از چندین روش امنیتی استفاده کنی و امنیت وردپرس رو جدی بگیری.