Objetivo: Guia avançado de segurança para restringir o acesso a scripts PHP em pastas que não devem ser executadas diretamente, como wp-content/uploads/ e wp-includes/.
O Risco
Um atacante pode carregar um script PHP malicioso na sua pasta wp-content/uploads/ (que é usada para imagens) e, se conseguir executá-lo, comprometer todo o seu site.
Passo a Passo: Bloqueio de Execução PHP
-
Acesso ao Gerenciador de Arquivos:
-
Faça login no cPanel e vá em Gerenciador de Arquivos.
-
-
Crie o arquivo .htaccess na pasta
wp-content/uploads/:-
Navegue até o caminho
public_html/wp-content/uploads/. -
Clique em "Novo Arquivo" e nomeie-o como
.htaccess. -
Edite o novo arquivo e insira o seguinte código:
Apache# Impedir execucao de PHP na pasta Uploads <Files *.php> deny from all </Files>-
Salve: Isso garante que nenhum arquivo
.phpseja executado dentro da pasta de uploads, prevenindo a execução de códigos maliciosos carregados.
-
-
Crie o arquivo .htaccess na pasta
wp-includes/:-
Navegue até o caminho
public_html/wp-includes/. -
Crie um novo arquivo
.htaccesse insira o seguinte código:
Apache# Impedir acesso direto a wp-includes Order Allow,Deny Deny from All <Files ~ ".(css|jpe?g|png|gif|js|svg)$"> Allow from All </Files>-
Salve: Isso nega o acesso direto aos arquivos internos do WordPress, permitindo apenas a execução de arquivos essenciais (como CSS, JS e imagens).
-
Resultado: Estas regras garantem que, mesmo que um invasor consiga subir um arquivo malicioso, o servidor negará a execução do script.
