WordPressのハッキング方法として、PHPファイルをアップロードし、実行する方法があります。

アップロードされたファイルはwp-contentディレクトリ配下にあるuploadsフォルダに格納されます。

ハッカーはアップロードしたファイルを実行するために、例えばアップロードしたファイルが「malware.php」とすると、「https://example.com/wp-content/uploads/malware.php」とアクセスすれば、PHPが実行されます。

PHPの実行はWordPressのディレクトリ配下にあるため、自身による実行だと認識されるため、パーティションによる制限は効果がありません。

これを防ぐためには、uploadsディレクトリでPHPファイルの実行を防ぐしか方法はありません。

PHPファイルの実行を防ぐには、uploadsディレクトリに.htaccessファイルをアップロードします。

アップロードする.htaccessファイルには、次のような記述を行います。

<Files *.php>
deny from all
</Files>

このPHPファイルの実行を防ぐ方法は、uploadsフォルダ以外には行わないでください。

他のディレクトリでPHPファイルの実行を制限してしまうと、WordPress本来の動きを妨げてしまいます。