Контроль и ограничение закачивания файлов определенного типа в папку uploads

Простые правила для модуля Apache, защищающие папку uploads от записи потенциально опасных типов файлов.

Парка uploads (…/wp-content/uploads) является уязвимой, если злоумышленники каким-то образом смогли получить доступ на запись файлов в нее, так как она по умолчанию должна оставаться доступной для записи файлов — WordPress хранит там файлы, которые вы вставляете в посты или напрямую закачиваете в библиотеку файлов: изображения, документы, любые другие файлы, разрешенные для закачивания. Эта папка чаще всего подвергается атакам, ведь злоумышленники знают, что она открыта для записи. И хоть получить прямой доступ к ней не так то и легко, но все же лучше перестраховаться и контролировать то, что можно закачивать в эту папку.

Для блоггеров важно, чтобы папка uploads была открыта для записи изображений. Если ваш блог работает на хостинге с модулем Apache, то вы можете жестко определить, какие типы файлов можно будет записать в папку uploads, запрещая записывать все остальные. Для этого достаточно в папке uploads создать файл с именем .htaccess, и добавить в этот файл следующие строчки:


	Order Allow,Deny
	Deny from all


	Order Deny,Allow
	Allow from all

Эти правила запрещают записывать любые файлы и их вариации, кроме файлов с расширением jpg, jpeg, jpe, gif, png, tif, tiff, то есть только изображения. Это предотвратит запись файлов, в которых можно использовать вредоносный код. Если вам нужно добавить другие типы файлов, то просто продолжите список:

jpg|jpeg|jpe|gif|png|tif|tiff|mp3|ogg|m4a|mp4|flv|swf|pdf

tiaurus

Автор n-wp.ru — блога о WordPress для новичков.

Оцените автора
Добавить комментарий

  1. Nurlan

    После добавления кода в htaccess вышло это — «У вас нет разрешения на доступ…» Почему?

    Ответить
  2. Nurlan

    Сорри, я ошибся. Не в ту папку и не в тот htaccess дописал код.

    Ответить