如果上传目录被植入 PHP 文件,即可远程执行。为了安全起见,我们一般会对上传目录禁止运行 PHP 脚本。
在 Apache 下面我们可以通过一下方法来禁止运行 PHP 脚本:
<Directory /wp-content/uploads> php_flag engine off </Directory>
Nginx 方法如下:
location /wp-content/uploads/ {
location ~ .*\.(php)?$ {
deny all;
}
}而对于多个目录的话,可以一起进行限定:
location ~* ^/(uploads|images)/.*\.(php|php5)$
{
deny all;
}