如何允许wordpress网站浏览但没有文件写或创建

时间:2015-05-31 20:44:00

标签: php file permissions ownership

我想知道如何以可以正常浏览网站的方式设置网站,但拒绝创建或编辑除ftp访问之外的任何文件。

我有一个wordpress网站,一遍又一遍地被黑客入侵。我知道我必须找到确切的漏洞,但作为一个快速的临时修复,我想拒绝网站创建新的PHP页面或修改现有的页面,但仍允许通过ftp进行更新。

现在所有文件夹都是755和文件644,从我能找到的,所有文件/文件夹都归帐户用户所有。我正在使用whm / cpanel进行专用托管。

从我所读过的内容来看,使用文件所有权可能是可行的,但我几乎不知道要为文件和文件夹设置什么组或用户所有权来实现这一点。

1 个答案:

答案 0 :(得分:1)

所有恶意文件都直接从文件上传脚本加载。你不能否认wordpress上传文件。 Wordpress不知道什么是FTP。通过FTP权限,您可以更改文件的权限(而不是整个网站上传规则)。

您必须保护您的Wordpress。这个过程并不难。只需执行以下步骤:

  • 检查您是否拥有最新的Wordpress版本(更新您的Wordpress主题/插件/ Wordpress核心)。
  • 有一些插件可以隐藏你正在使用Wordpress。只需在谷歌搜索“隐藏wordpress插件”或类似的东西。
  • 暂时您可以更改.htaccess文件的规则,以允许仅从您的IP访问管理面板。只需将此代码复制/粘贴到.htaccess文件的底部:

    RewriteEngine on RewriteCond%{REQUEST_URI} ^(。)?wp-login.php(。)$ [OR] RewriteCond%{REQUEST_URI} ^(。)?wp-admin $ RewriteCond%{REMOTE_ADDR}!^ xxxIPxxx $ RewriteRule ^(。)$ - [R = 403,L]

将xxxIPxxx替换为您的IP地址。您可以在此处找到完整的文章http://premium.wpmudev.org/blog/limit-access-login-page/

我希望这个答案可以帮到你。