WordPress设置图片附件目录禁止执行PHP文件确保上传文件安全

如果我们的WordPress程序的网站有开放用户上传功能的话,我们要堤防上传的文件是图片还是PDF,甚至有一些可能有意为之的用户将木马文件伪装程序图片文件,甚至有上传PHP文件进来。这样可能会被提权目录导致网站安全问题。如果我们的网站确实需要交互功能,你禁止上传也不可取。
那我们可以做的办法就是禁止在附件图片目录禁止执行PHP文件即可。这样就可以防止即便被上传PHP文件,然后被提权的问题。
比如我们在使用像THINKPHP 内核的时候,对应的根目录只能允许执行index.php文件,其他PHP都不允许执行,那我们就需要在配置文件中添加代码。

 location ~ ^/index.php{
      #PHP-INFO-START  PHP引用配置,可以注释或修改
      include enable-php-70.conf;
      #PHP-INFO-END
    }
    location ~* .(php){
              deny all;
}

WordPress设置图片附件目录禁止执行PHP文件确保上传文件安全
这参考这里: https://www.bt.cn/bbs/thread-52183-1-1.html
不过,如果我们是WordPress程序的话,如何办呢?
WordPress设置图片附件目录禁止执行PHP文件确保上传文件安全
如果我们是WP或者DEDECMS都是适用的,只要添加对应代码到当前站点配置文件中。

 location ~ /(a|data|templets|uploads)/(.).(php)$ {
    return 403;
}

目录我们可以自行修改。完毕之后,我们重启Nginx即可。

赞 (0)
您的大名:
万水千山总是情,给个打赏行不行。 打赏

评论区

发表评论

30+37=?

暂无评论,要不来一发?

回到顶部