n-wp.ru — блог о WordPress

Контроль и ограничение закачивания файлов определенного типа в папку uploads

Простые правила для модуля Apache, защищающие папку uploads от записи потенциально опасных типов файлов.

Парка uploads (…/wp-content/uploads) является уязвимой, если злоумышленники каким-то образом смогли получить доступ на запись файлов в нее, так как она по умолчанию должна оставаться доступной для записи файлов — WordPress хранит там файлы, которые вы вставляете в посты или напрямую закачиваете в библиотеку файлов: изображения, документы, любые другие файлы, разрешенные для закачивания. Эта папка чаще всего подвергается атакам, ведь злоумышленники знают, что она открыта для записи. И хоть получить прямой доступ к ней не так то и легко, но все же лучше перестраховаться и контролировать то, что можно закачивать в эту папку.

Для блоггеров важно, чтобы папка uploads была открыта для записи изображений. Если ваш блог работает на хостинге с модулем Apache, то вы можете жестко определить, какие типы файлов можно будет записать в папку uploads, запрещая записывать все остальные. Для этого достаточно в папке uploads создать файл с именем .htaccess, и добавить в этот файл следующие строчки:

Эти правила запрещают записывать любые файлы и их вариации, кроме файлов с расширением jpg, jpeg, jpe, gif, png, tif, tiff, то есть только изображения. Это предотвратит запись файлов, в которых можно использовать вредоносный код. Если вам нужно добавить другие типы файлов, то просто продолжите список:

2 комментария