禁止解析 WordPress uploads 目录的 php 文件

2024年10月8日 · PHP

有个客户网站某天突然无法访问，然后发现 uploads 目录下多了一个奇怪的 php 文件

文件内容如下，明显的 eval 函数：

解决方法：

禁用 eval 函数
检查用户组和权限是否正常
禁止解析 uploads 目录下的 php 文件（以 apache 为例）

<Directory /var/www/html/wp-content/uploads>
    Options FollowSymLinks MultiViews
    AllowOverride FileInfo
    Order allow,deny
    allow from all
    php_flag engine off
</Directory>

（以 nginx 为例）

location / {
        try_files $uri $uri/ /index.php?$args;
}

# 禁止 uploads 文件夹下的 php 解析
location ^~ /wp-content/uploads/ {
    location ~ \.php$ {
        deny all;
    }
}

location ~ \.php$ {
        include fastcgi.conf;
        fastcgi_intercept_errors on;
        fastcgi_pass php;
}

发表评论 取消回复

发表评论取消回复