اجرای PHP را غیرفعال کنید
کسی که قصد هک کردن یک سایت را دارد، بعد از به دست آوردن دسترسی های لازم، سعی در آپلود و به اجرا درآوردن فایل مورد نظرش را دارد. بیشتر مواقع هم این فایل از نوع PHP است. حتی قبل از گرفتن دسترسی، ممکن است برای اکتشاف و پی بردن به کانفیگ های وب سرور خواسته باشد فایل PHP خود را هم اجرا کند. ما میتوانیم با یک تدبیر از قبل انجام شده، جلوی اجرای PHP را برای هکر بگیریم. البته خود وردپرس به اجرای PHP نیازمند است. پس طبیعتاً قادر به غیر فعال کردن سراسری PHP روی کل سایت نیستیم.
پس بهترین کار این است که در مسیرهایی که معمولاً پرونده هایی آپلود می شوند، مثل uploads و یا مسیر wp-includes که نیاز به اجرای مستقیم سند PHP نیست، چنین کاری را انجام دهیم. دقت داشته باشید که برخی از افزونه ها و قالب های وردپرس نیاز به اجرای مستقیم سند PHP دارند. پس اگر اجرای PHP را برای مسیر wp-content غیرفعال کنیم، ممکن است سایت با مشکلات جدی روبرو شود.
برای غیر فعال کردن اجرای PHP می بایستی از سند .htaccess که تنظیمات مربوط به وبسرور را درون خود دارد استفاده کنیم. این یک سند مخفی است؛ به این دلیل که در ابتدای آن نقطه وجود دارد. در لینوکس هر سندی که ابتدای آن . داشته باشد، به حالت مخفی خواهد بود. پس لازم است در File Manager امکان نمایش فایل های مخفی را فعال کنیم.
در مسیری که ما قصد غیر فعال کردن اجرای PHP آن را داریم، اگر چنین سندی وجود نداشت، کافی است یک سند با نام .htaccess بسازیم و محتویات زیر را درون آن قرار دهیم.
<Files *.php> Order Allow, Deny Deny from all </Files>
مثلاً ما در پوشۀ uploads که در پوشۀ wp-content وجود دارد، به دلیل اینکه تمامی محتویات این پوشه معمولاً عکس ها یا فایل هایی که است که بازدید کنندگان می توانند دانلود کنند و نیازی به اجرای آنها روی هاست نیست، یک سند با عنوان .htaccess می سازیم و ۴ خط کد بالا را درون آن جایگذاری می کنیم.
حالا از الان بعد خاطرمان بیشتر جمع است که هکر قادر به اجرای کدهای PHP خود در مکان های که مستعدتر است، نیست. این نکته که در اینجا به شما آموزش دادیم، یک ترفند امنیتی بسیار عالی بود که کمتر افرادی آن را رعایت می کنند. شما با عمل به آن یک سد امنیتی بهتری در برابر دسترسی های غیر مجاز بسازید.