.htaccess в поддиректории WordPress c 777

Опубликовано 09.09.2010 автором Admin

Допустим, что плагин загружает текстовые файлы или изображения в поддиректорию WordPress. Эта поддиректория должна быть доступна для записи, т.е. для нее необходимо выставить права доступа 777, что потенциально представляет угрозу безопасности (злоумышленник может загрузить свой сценарий и взломать сайт). Для защиты можно использовать

• Ограничение по типам файлов
• Запрет выполнения сценариев: вместо выполнения сценария текст сценария в браузере или страница ошибки

***Вариант решения проблемы для продвинутых пользователей - использовать suEXEC (пользователь Apache получает возможность исполнять CGI и SSI программы под ID, отличающемся от ID веб-сервера).

Содержание [hide]

• 1 Защита директории с помощью .htaccess
  • 1.1 Ограничение по типам файлов
  • 1.2 Запрет выполнения сценариев
    • 1.2.1 Вместо выполнения сценария текст сценария в браузере
    • 1.2.2 Вместо выполнения сценария страница ошибки

Защита директории с помощью .htaccess

В директорию с такими правами доступа, как 760, 766, 775 или777, следует поместить файл .htaccess с инструкциями, запрещающими в этой директории и всех ее поддиректориях исполнение сценариев (файлов с определенными расширениями) и/или запись файлов кроме файлов заданных типов.

Ограничение по типам файлов

Запрет на все файлы кроме файлов с заданными расширениями:

<Files ^(*.jpeg|*.jpg|*.png|*.gif)>
order Deny,Allow
Deny from All
</Files>

Директива FilesMatch, разрешающая (Allow)  в директории только файлы заданных типов. (Запрет - аналогично с Deny вместо Allow):

<FilesMatch ".(ico|pdf|flv|jpg|jpeg|mp3|mpg|mp4|mov|wav|wmv|png|gif|swf|css|js)$">
Allow from All
</FilesMatch>
Deny from All

Запрет выполнения сценариев

Вместо выполнения сценария текст сценария в браузере

Исполняемые файлы (файлы сценариев с расширением .pl, .cgi или .php) при запросе браузера будут обрабатываться сервером как простой текст, т.е. вместо результата выполнения сценария в браузер будет передан текст сценария (он появисят в окне браузера!):

AddType text/plain .pl
AddType text/plain .cgi
AddType text/plain .php

или

AddType text/plain .pl .cgi .php

Вместо выполнения сценария страница ошибки

Директива Options -ExecCGI запрещает исполнение cgi-сценариев. Следующая директива AddHandler регистрирует все файлы с заданными расширениями как cgi-сценарии. Таким образом, при попытке доступа к файлам с этими расширениями появится страница ошибки.

Options -ExecCGI
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi

Следующая директива отменяет все обработчики и действия, обычно применяемые к файлам с заданными расширениями, т.к. предписывает использовать эти файлы как простой текст:

<FilesMatch ".(php|pl|py|jsp|asp|htm|shtml|sh|cgi)$">
ForceType text/plain
</FilesMatch>

Источник: .htaccess for subdirectories

Еще записи

• Комментарии в коде HTML, php, css, JavaScript и .htaccess (Дек 27, 2010)
  WordPress можно использовать, ...
• Перенос на новый домен (Дек 12, 2009)
  Иногда сайту "не сидится на ...
• Многострочный текст в php-сценарии (Авг 24, 2010)
  Когда php-сценарий должен ...
• Изменение адресов в .htaccess: RewriteCond и RewriteRule (Июл 2, 2011)
  Что означают строчки с ...
• Листинг каталогов и .htaccess (Дек 25, 2010)
  Вы, должно быть, знаете, что ...

Всего просмотров 62, сегодня 4

Запись опубликована в рубрике htaccess с метками .htaccess, безопасность, защита, права доступа 777. Добавьте в закладки постоянную ссылку.