如何允许 wordpress 网站浏览但没有文件写入或创建

Question

我想知道如何以一种可以正常浏览网站但拒绝创建或编辑除 ftp 访问之外的任何文件的方式设置网站。

我有一个 wordpress 网站被一次又一次地黑了。我知道我必须找到确切的漏洞，但作为一个快速的临时修复，我想拒绝该网站创建新的 php 页面或修改现有的页面，但仍然允许通过 ftp 完成更新。

目前所有文件夹都是 755 和文件 644，据我所知，所有文件/文件夹都归帐户用户所有。我在使用 whm/cpanel 的专用主机上。

根据我的阅读，使用文件所有权可能是可行的，但我几乎不知道将文件和文件夹放在哪个组或用户所有权上来实现这一点。

Answer 1

所有恶意文件都直接从文件上传脚本加载。您不能拒绝 wordpress 上传文件。 Wordpress 不知道什么是 FTP。通过 FTP 权限，您可以更改文件的权限（不是整个网站的上传规则）。

---

您必须保护您的 Wordpress。这个过程并不难。只需执行以下步骤：

• 检查您是否拥有最新的 Wordpress 版本（更新您的 Wordpress 主题/插件/Wordpress 核心）。
• 有些插件会隐藏您正在使用 Wordpress。只需在谷歌上搜索“隐藏 wordpress 插件”或类似的内容。

• 您可以暂时更改 .htaccess 文件的规则，以允许仅从您的 IP 访问管理面板。只需将此代码复制/粘贴到 .htaccess 文件的底部即可：

  重写引擎开启 RewriteCond %{REQUEST_URI} ^(.)?wp-login.php(.)$ [OR] RewriteCond %{REQUEST_URI} ^(.)?wp-admin$ RewriteCond %{REMOTE_ADDR} !^xxxIPxxx$ 重写规则 ^(.)$ - [R=403,L]

并将 xxxIPxxx 替换为您的 IP 地址。你可以在这里找到完整的文章http://premium.wpmudev.org/blog/limit-access-login-page/。

---

希望这个回答对你有帮助。