WordPressのハッキング方法として、PHPファイルをアップロードし、実行する方法があります。
アップロードされたファイルはwp-contentディレクトリ配下にあるuploadsフォルダに格納されます。
ハッカーはアップロードしたファイルを実行するために、例えばアップロードしたファイルが「malware.php」とすると、「https://example.com/wp-content/uploads/malware.php」とアクセスすれば、PHPが実行されます。
PHPの実行はWordPressのディレクトリ配下にあるため、自身による実行だと認識されるため、パーティションによる制限は効果がありません。
これを防ぐためには、uploadsディレクトリでPHPファイルの実行を防ぐしか方法はありません。
PHPファイルの実行を防ぐには、uploadsディレクトリに.htaccessファイルをアップロードします。
アップロードする.htaccessファイルには、次のような記述を行います。
<Files *.php>
deny from all
</Files>
このPHPファイルの実行を防ぐ方法は、uploadsフォルダ以外には行わないでください。
他のディレクトリでPHPファイルの実行を制限してしまうと、WordPress本来の動きを妨げてしまいます。
最近のコメント