Контроль и ограничение закачивания файлов определенного типа в папку uploads

Парка uploads (…/wp-content/uploads) является уязвимой, если злоумышленники каким-то образом смогли получить доступ на запись файлов в нее, так как она по умолчанию должна оставаться доступной для записи файлов – WordPress хранит там файлы, которые вы вставляете в посты или напрямую закачиваете в библиотеку файлов: изображения, документы, любые другие файлы, разрешенные для закачивания. Эта папка чаще всего подвергается атакам, ведь злоумышленники знают, что она открыта для записи. И хоть получить прямой доступ к ней не так то и легко, но все же лучше перестраховаться и контролировать то, что можно закачивать в эту папку.

Для блоггеров важно, чтобы папка uploads была открыта для записи изображений. Если ваш блог работает на хостинге с модулем Apache, то вы можете жестко определить, какие типы файлов можно будет записать в папку uploads, запрещая записывать все остальные. Для этого достаточно в папке uploads создать файл с именем .htaccess, и добавить в этот файл следующие строчки:


	Order Allow,Deny
	Deny from all


	Order Deny,Allow
	Allow from all

Эти правила запрещают записывать любые файлы и их вариации, кроме файлов с расширением jpg, jpeg, jpe, gif, png, tif, tiff, то есть только изображения. Это предотвратит запись файлов, в которых можно использовать вредоносный код. Если вам нужно добавить другие типы файлов, то просто продолжите список:

jpg|jpeg|jpe|gif|png|tif|tiff|mp3|ogg|m4a|mp4|flv|swf|pdf
Автор tiaurus 2182 Articles
Являюсь создателем n-wp.ru — блога о WordPress для новичков. Мне интересно многое, поэтому еще я сделал 123-box.ru — блог о программах для Windows, и tiaurus.info — блог о красоте.

2 Комментарии

Оставить комментарий

Ваш электронный адрес не будет опубликован.


*