WordPress设置图片附件目录禁止执行PHP文件确保上传文件安全
ssr
撰写于 2022年 02月 26 日

如果我们的WordPress程序的网站有开放用户上传功能的话,我们要堤防上传的文件是图片还是PDF,甚至有一些可能有意为之的用户将木马文件伪装程序图片文件,甚至有上传PHP文件进来。这样可能会被提权目录导致网站安全问题。如果我们的网站确实需要交互功能,你禁止上传也不可取。
那我们可以做的办法就是禁止在附件图片目录禁止执行PHP文件即可。这样就可以防止即便被上传PHP文件,然后被提权的问题。
比如我们在使用像THINKPHP 内核的时候,对应的根目录只能允许执行index.php文件,其他PHP都不允许执行,那我们就需要在配置文件中添加代码。

 location ~ ^/index.php{

  #PHP-INFO-START  PHP引用配置,可以注释或修改
  include enable-php-70.conf;
  #PHP-INFO-END
}
location ~* \.(php){
          deny all;

}



这参考这里:https://www.bt.cn/bbs/thread-52183-1-1.html
不过,如果我们是WordPress程序的话,如何办呢?

如果我们是WP或者DEDECMS都是适用的,只要添加对应代码到当前站点配置文件中。
 location ~ /(a|data|templets|uploads)/(.).(php)$ {

return 403;

}


目录我们可以自行修改。完毕之后,我们重启Nginx即可。

WordPress设置图片附件目录禁止执行PHP文件确保上传文件安全

如果我们的WordPress程序的网站有开放用户上传功能的话,我们要堤防上传的文件是图片还是PDF,甚至有一些可能有意为之的用户将木马文件伪装程序图片文件,甚至有上传PHP文件进来。这样可能会被提权目录导致网站安全问题。如果我们的网站确实需要交互功能,你禁止上传也不可取。
那我们可以做的办法就是禁止在附件图片目录禁止执行PHP文件即可。这样就可以防止即便被上传PHP文件,然后被提权的问题。
比如我们在使用像THINKPHP 内核的时候,对应的根目录只能允许执行index.php文件,其他PHP都不允许执行,那我们就需要在配置文件中添加代码。

 location ~ ^/index.php{

  #PHP-INFO-START  PHP引用配置,可以注释或修改
  include enable-php-70.conf;
  #PHP-INFO-END
}
location ~* \.(php){
          deny all;

}



这参考这里:https://www.bt.cn/bbs/thread-52183-1-1.html
不过,如果我们是WordPress程序的话,如何办呢?

如果我们是WP或者DEDECMS都是适用的,只要添加对应代码到当前站点配置文件中。
 location ~ /(a|data|templets|uploads)/(.).(php)$ {

return 403;

}


目录我们可以自行修改。完毕之后,我们重启Nginx即可。

赞 (0)

猜您想看

评论区(暂无评论)

这里空空如也,快来评论吧~

我要评论