Por padrão, o WordPress torna certos diretórios graváveis para que você e outros usuários autorizados em seu site possam facilmente fazer upload de temas, plugins, imagens e vídeos para seu site.
No entanto, esse recurso pode ser abusado se cair na mão errada, como hackers que podem usá-lo para fazer upload de arquivos com backdoor ou malware para o seu site.
Esses arquivos maliciosos costumam ser disfarçados como arquivos principais do WordPress. A maioria deles são escritos em PHP e podem ser executados em segundo plano para obter acesso total a todos os aspectos do seu site.
Parece assustador, certo?
Não se preocupe, existe uma solução fácil para isso. Basicamente, você simplesmente desabilitaria a execução do PHP em certos diretórios onde não precisa dele. Fazendo isso, nenhum arquivo PHP será executado dentro desses diretórios.
Neste artigo, mostraremos como desabilitar a execução de PHP no WordPress usando o arquivo .htaccess
.
Desativando a execução de PHP em determinados diretórios do WordPress usando o arquivo .htaccess
A maioria dos sites WordPress tem um arquivo .htaccess
na pasta raiz. Este é um arquivo de configuração poderoso usado para proteger a área de administração com senha, desabilitar a navegação no diretório, gerar uma estrutura de URL amigável para SEO e muito mais.
Por padrão, o arquivo .htaccess
está localizado na pasta raiz do seu site WordPress, mas você também pode criá-lo e usá-lo dentro de seus diretórios internos do WordPress.
Para proteger seu site de arquivos com backdoor, você precisa criar um arquivo .htaccess
e enviá-lo para os diretórios /wp-includes/
e /wp-content/uploads/
do seu site.
Simplesmente crie um arquivo em branco no seu computador usando um editor de texto como o Notepad (TextEdit no Mac) ou Notepad++. Salve o arquivo como .htaccess
e cole o código a seguir dentro dele.
<Files *.php> deny from all </Files>
Agora salve o arquivo no seu computador.
Em seguida, você precisa fazer upload desse arquivo para a pasta /wp-includes/
e /wp-content/uploads/
em seu servidor de hospedagem WordPress.
Você pode envia-lo usando um cliente FTP ou através do aplicativo Gerenciador de Arquivos no painel cPanel da sua conta de hospedagem.
Depois que o arquivo .htaccess
com o código acima for adicionado, ele interromperá a execução de qualquer arquivo PHP nesses diretórios.
Usar este truque .htaccess
ajuda a fortalecer a segurança do WordPress, mas não é uma CORREÇÃO para um site WordPress já hackeado.
Os backdoors são disfarçadas de forma inteligente e já podem ser escondidas à vista de todos.
Se você quiser verificar possíveis backdoors em seu site, será necessário ativar o Sucuri ou Astra Security em seu site.
Sucuri e o Astra Security são as melhores soluções de segurança a nivel de DNS para WordPress do mercado. Eles verificam o seu site em busca de possíveis ameaças, código suspeito, malware e vulnerabilidades.
Eles também bloqueiam com eficácia a maioria das tentativas de invasão de antes mesmo de chegar ao seu site, adicionando um firewall entre o seu site e o tráfego suspeito.
Mais importante ainda, se o seu site WordPress for hackeado, eles o limparão para você.
Esperamos que este artigo o tenha ajudado a aprender como desabilitar a execução de PHP em determinados diretórios do WordPress para fortalecer a segurança do seu site. Se você está procurando um guia completo, verifique nosso guia de segurança para WordPress definitivo.