execução de PHP em determinados diretórios do WordPress

Por padrão, o WordPress torna certos diretórios graváveis ​​para que você e outros usuários autorizados em seu site possam facilmente fazer upload de temas, plugins, imagens e vídeos para seu site.

No entanto, esse recurso pode ser abusado se cair na mão errada, como hackers que podem usá-lo para fazer upload de arquivos com backdoor ou malware para o seu site.

Esses arquivos maliciosos costumam ser disfarçados como arquivos principais do WordPress. A maioria deles são escritos em PHP e podem ser executados em segundo plano para obter acesso total a todos os aspectos do seu site.

Parece assustador, certo?

Não se preocupe, existe uma solução fácil para isso. Basicamente, você simplesmente desabilitaria a execução do PHP em certos diretórios onde não precisa dele. Fazendo isso, nenhum arquivo PHP será executado dentro desses diretórios.

Neste artigo, mostraremos como desabilitar a execução de PHP no WordPress usando o arquivo .htaccess.

Desativando a execução de PHP em determinados diretórios do WordPress usando o arquivo .htaccess

A maioria dos sites WordPress tem um arquivo .htaccess na pasta raiz. Este é um arquivo de configuração poderoso usado para proteger a área de administração com senha, desabilitar a navegação no diretório, gerar uma estrutura de URL amigável para SEO e muito mais.

Por padrão, o arquivo .htaccess está localizado na pasta raiz do seu site WordPress, mas você também pode criá-lo e usá-lo dentro de seus diretórios internos do WordPress.

Para proteger seu site de arquivos com backdoor, você precisa criar um arquivo .htaccess e enviá-lo para os diretórios /wp-includes/ e /wp-content/uploads/ do seu site.

Simplesmente crie um arquivo em branco no seu computador usando um editor de texto como o Notepad (TextEdit no Mac) ou Notepad++. Salve o arquivo como .htaccess e cole o código a seguir dentro dele.

<Files *.php>
deny from all
</Files>

execução de PHP em determinados diretórios do WordPress

Agora salve o arquivo no seu computador.

Em seguida, você precisa fazer upload desse arquivo para a pasta /wp-includes/ e /wp-content/uploads/ em seu servidor de hospedagem WordPress.

Você pode envia-lo usando um cliente FTP ou através do aplicativo Gerenciador de Arquivos no painel cPanel da sua conta de hospedagem.

Depois que o arquivo .htaccess com o código acima for adicionado, ele interromperá a execução de qualquer arquivo PHP nesses diretórios.

Usar este truque .htaccess ajuda a fortalecer a segurança do WordPress, mas não é uma CORREÇÃO para um site WordPress já hackeado.

Os backdoors são disfarçadas de forma inteligente e já podem ser escondidas à vista de todos.

Se você quiser verificar possíveis backdoors em seu site, será necessário ativar o Sucuri ou Astra Security em seu site.

Sucuri e o Astra Security são as melhores soluções de segurança a nivel de DNS para WordPress do mercado. Eles verificam o seu site em busca de possíveis ameaças, código suspeito, malware e vulnerabilidades.

Eles também bloqueiam com eficácia a maioria das tentativas de invasão de antes mesmo de chegar ao seu site, adicionando um firewall entre o seu site e o tráfego suspeito.

Mais importante ainda, se o seu site WordPress for hackeado, eles o limparão para você.

Esperamos que este artigo o tenha ajudado a aprender como desabilitar a execução de PHP em determinados diretórios do WordPress para fortalecer a segurança do seu site. Se você está procurando um guia completo, verifique nosso guia de segurança para WordPress definitivo.

Você pode conferir o curso avançado de segurança para WordPress:

Receba dicas de WordPress grátis!
Receba dicas semanais sobre como otimizar o SEO, a usabilidade e a conversão do seu site WordPress.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.