Web Development
Πώς περιορίζω την εκτέλεση PHP σε συγκεκριμένα directories του WordPress;
Ήξερες ότι σχεδόν 1 στα 25 WordPress sites, πέφτουν θύματα hacking;
Σύμφωνα με το Sucuri, οι εγκαταστάσεις του WordPress ήταν ο στόχος του 96.2% των επιθέσεων που έγιναν συνολικά σε όλα τα CMS (Content Management Systems). Οι λόγοι και οι ευαισθησίες είναι ποικίλες με το 61% εξ αυτών να αφορούν μη ενημερωμένες εκδόσεις του CMS, των plugins και του θέματος.
Για να μειώσουμε στο ελάχιστο τις πιθανότητες παραβίασης του site μας, θα πρέπει να λάβουμε όλα τα απαραίτητα μέτρα που απαιτούνται για την μέγιστη ασφάλεια του ιστότοπού μας. Στο παρόν άρθρο θα αναλύσουμε έναν από αυτούς τους τρόπους.
Γιατί να θέλω να περιορίσω την εκτέλεση της PHP σε συγκεκριμένα directories του WordPress;
Μία από τις συνηθισμένες τακτικές των hackers είναι να μεταφορτώνουν μολυσμένα αρχεία στα directories του site, δημιουργώντας έτσι backdoors μέσω των οποίων μπορούν να αποκτήσουν πλήρη πρόσβαση στο site και στις πληροφορίες των χρηστών που χρησιμοποιούν τον ιστότοπο.
Έτσι, περιορίζοντας την εκτέλεση της PHP σε ορισμένους φακέλους της εγκατάστασης του WordPress, εμποδίζουμε την πυροδότηση διαφόρων scripts που θα μπορούσαν να είναι επιβλαβή για την ασφάλεια και ομαλή λειτουργία του site μας.
Disclaimer
Είναι ιδιαίτερα σημαντικό, να υπάρχει γνώση και κατανόηση σε όλη την παρακάτω διαδικασία για να αποφευχθούν μη επιθυμητά προβλήματα. Για παράδειγμα, ακολουθώντας τα βήματα και προσθέτοντας τους κανόνες σε ένα directory καταλυτικό για την ιστοσελίδα μας θα προκαλέσει errors.
Διαδικασία περιορισμού εκτέλεσης PHP
Στο συγκεκριμένο παράδειγμα θα περιορίσουμε την εκτέλεση της PHP στο directory του wp-content/uploads. Ωστόσο τα ίδια βήματα ακολουθούμε για οποιοδήποτε άλλο directory.
- Κατευθυνόμαστε αρχικά μέσω του cPanel στο File Manager.
- Έπειτα, ανοίγουμε τον φάκελο που επιθυμούμε. Στην δική μας περίπτωση τον φάκελο uploads.
- Εάν υπάρχει ήδη ένα αρχείο .htaccess πατάμε δεξί κλικ και επεξεργασία. Διαφορετικά, δημιουργούμε ένα νέο αρχείο .htaccess, πατάμε δεξί κλικ και επεξεργασία.
- Στη συνέχεια, προσθέτουμε τις παρακάτω τρεις γραμμές κώδικα:
<FilesMatch "\.(php|php\.)$">
Order Allow,Deny
Deny from all
</FilesMatch> - Τέλος, πατάμε Save για να αποθηκευτούν οι αλλαγές μας.
Συνοψίζοντας, στον παραπάνω οδηγό είδαμε πως μπορούμε να βάλουμε ένα ακόμη τείχος προστασίας στην WordPress εγκατάστασή μας, μέσω του περιορισμού της εκτέλεσης PHP σε ορισμένα directories.
Ωστόσο, πρέπει μονίμως να φροντίζουμε η ιστοσελίδα μας και τα εργαλεία που συνδέονται με αυτήν, να είναι ενημερωμένα για να αποφύγουμε τυχόν κενά ασφαλείας.