WordPress设置图片附件目录禁止执行PHP文件确保上传文件安全

如果我们的WordPress程序的网站有开放用户上传功能的话,我们要堤防上传的文件是图片还是PDF,甚至有一些可能有意为之的用户将木马文件伪装程序图片文件,甚至有上传PHP文件进来。这样可能会被提权目录导致网站安全问题。如果我们的网站确实需要交互功能,你禁止上传也不可取。

那我们可以做的办法就是禁止在附件图片目录禁止执行PHP文件即可。这样就可以防止即便被上传PHP文件,然后被提权的问题。

比如我们在使用像THINKPHP 内核的时候,对应的根目录只能允许执行index.php文件,其他PHP都不允许执行,那我们就需要在配置文件中添加代码。

 location ~ ^/index.php{
      #PHP-INFO-START  PHP引用配置,可以注释或修改
      include enable-php-70.conf;
      #PHP-INFO-END
    }
    location ~* \.(php){
              deny all;
}

这参考这里:https://www.bt.cn/bbs/thread-52183-1-1.html

不过,如果我们是WordPress程序的话,如何办呢?

如果我们是WP或者DEDECMS都是适用的,只要添加对应代码到当前站点配置文件中。

 location ~* /(a|data|templets|uploads)/(.*).(php)$ {
    return 403;
}

目录我们可以自行修改。完毕之后,我们重启Nginx即可。

本文出处:老蒋部落 » WordPress设置图片附件目录禁止执行PHP文件确保上传文件安全 | 欢迎分享( 公众号:老蒋玩运营 )