如果上传目录被植入 PHP 文件,即可远程执行。为了安全起见,我们一般会对上传目录禁止运行 PHP 脚本。

在 Apache 下面我们可以通过一下方法来禁止运行 PHP 脚本:

<Directory /wp-content/uploads>
php_flag engine off
</Directory>

Nginx 方法如下:

location /wp-content/uploads/ {
 location ~ .*\.(php)?$ {
 deny all;
 }
}

而对于多个目录的话,可以一起进行限定:

location ~* ^/(uploads|images)/.*\.(php|php5)$
{
deny all;
}

# # #

分享此文: 微信 新浪微博 QQ
上一篇

最优秀值得收藏推荐的 Google Chrome 谷歌浏览器插件扩展推荐列表

下一篇

WordPress 教程:移除或关闭后台的主题编辑器

发表评论