Thư mục tải lên Wordpress bên ngoài nội dung wp

Bạn có biết nội dung trang web của bạn được lưu trữ ở đâu không?

Một trang web WordPress được cấu trúc từ nhiều tệp và thư mục khác nhau, trong đó wp-content là thư mục quan trọng nhất. Nó chứa tất cả nội dung, chủ đề và plugin của trang web của bạn. Vô tình xóa thư mục này có thể làm hỏng toàn bộ trang web của bạn

Tại WP Hacked Help, nhóm bảo mật WordPress của chúng tôi thường bắt gặp các trang web WordPress nơi tin tặc tấn công thư mục WP-content/uploads và tấn công trang web wordpress. Bởi vì thông thường phần phụ trợ của trang web không được chủ sở hữu trang web kiểm tra và thư mục wp-content trở thành vị trí thích hợp nhất để khai thác. Ngoài ra, họ sẽ thêm một số cửa hậu bí mật có thể đóng vai trò là điểm vào cho các tập lệnh độc hại được sử dụng để đưa phần mềm độc hại vào trang web wordpress. Điều này có thể dẫn đến việc url trang web bị tấn công của bạn chuyển hướng đến trang web độc hại

Tác hại mà tin tặc có thể gây ra đối với nội dung wp thực sự đáng sợ. Nhưng đừng lo lắng

Trong hướng dẫn này, bạn sẽ tìm hiểu mọi thứ về nội dung wp (trong nội dung wp / tải lên), bao gồm chức năng của thư mục này. Cách bảo vệ nó khỏi bị truy cập trái phép & ngăn chặn hack wp-content/uploads vào năm 2022

⭐ Thư mục nội dung WP là gì?

Như đã đề cập trước đó, trong khi tạo trang web WordPress, rất nhiều tệp và thư mục được tạo ở phần phụ trợ. Trong số các thư mục nội dung wp này là một trong những thư mục quan trọng nhất

Mọi hình ảnh được thêm vào trang web của chúng tôi, mọi chủ đề và plugin được cài đặt đều nằm trong thư mục này. Chúng tôi có thể nói rằng các tệp không thể lưu trữ trong cơ sở dữ liệu được lưu trữ ở đây. Chúng tôi sẽ phải tạo lại toàn bộ trang web từ đầu nếu thư mục này bị xóa

Thông thường, thư mục này không được chủ sở hữu trang web sử dụng nhưng đôi khi được truy cập cho một số tác vụ

WordPress lưu trữ tất cả các tệp tải lên hình ảnh và phương tiện của bạn trong thư mục wp-content/uploads/. Theo mặc định, các tệp tải lên được sắp xếp trong thư mục /năm/tháng/. Bất cứ khi nào bạn tạo bản sao lưu WordPress, bạn nên bao gồm thư mục tải lên

Ví dụ: chúng tôi đã cài đặt một plugin trên trang web của mình. Nhưng trang web của chúng tôi bị trục trặc do plugin này không tương thích với phiên bản WordPress hiện tại của chúng tôi. Bây giờ chúng tôi không thể tắt nó khỏi bảng điều khiển WordPress nhưng chúng tôi có thể đưa trang web của mình trở lại bình thường bằng cách xóa thư mục của plugin này trong thư mục nội dung wp

• Chỉ mục /wp-content/uploads – Thư mục này chứa danh sách các tệp đã tải lên có trong cơ sở dữ liệu và các thư mục có trong thư mục gốc

Trước khi chúng tôi biết thêm về nội dung WP, hãy cho phép bạn biết một số hậu quả nghiêm trọng mà nội dung wp/tải lên có

⭐ thư mục wp-content/uploads

thư mục wp–content/uploads của bạn nên được coi là một điểm vào tiềm năng và có thể bị lợi dụng để thực hiện một số vụ hack wordpress. Mối đe dọa tiềm ẩn lớn nhất là việc tải lên các tệp PHP

Nếu bạn có thể duyệt /wp–content/plugins/ – việc liệt kê các plugin và phiên bản trở nên dễ dàng hơn nhiều. Khai thác điều này có thể cho phép kẻ tấn công có được thông tin nhạy cảm có thể hỗ trợ cho các cuộc tấn công tiếp theo

Việc để lộ tệp trước những con mắt tò mò có thể tiết lộ thông tin nhạy cảm vì tải lên nội dung WP chứa các tệp quan trọng. Do đó, cần phải ẩn các tệp này trên máy chủ. Các. htaccess có thể giúp bảo mật các tệp này. Đọc. Bảo mật WordPress. tập tin htaccess

Để ngăn bất kỳ ai truy cập vào bất kỳ tệp PHP nào trong thư mục wp-content/uploads, bạn có thể tạo một. htaccess trong thư mục wp-content/uploads và thêm đoạn mã sau vào đó

# Kill PHP Execution

deny from all

Để ẩn các tệp nhạy cảm trong thư mục wp-includes, hãy thêm đoạn mã sau vào. htaccess trong thư mục gốc của trang web của bạn

# Block wp-includes folder and files
 
 RewriteEngine On
 RewriteBase /
 RewriteRule ^wp-admin/includes/ - [F,L]
 RewriteRule !^wp-includes/ - [S=3]
 RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
 RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
 RewriteRule ^wp-includes/theme-compat/ - [F,L]
 

Lỗ hổng trong Trình quản lý tệp WP

Lỗ hổng WP File Manager là NGHIÊM TRỌNG. Nó lây lan nhanh và tôi thấy hàng trăm trang web bị nhiễm. Phần mềm độc hại đang được tải lên /wp-content/plugins/wp-file-manager/lib/files

Những kẻ tấn công đang sử dụng khai thác để tải lên các tệp chứa webshell ẩn trong một hình ảnh. Từ đó, họ có một giao diện thuận tiện cho phép họ chạy các lệnh trong plugin/wp-file-manager/lib/files/, thư mục chứa plugin Trình quản lý tệp

Lỗ hổng bảo mật nằm trong các phiên bản Trình quản lý tệp từ 6. 0 đến 6. 8. Thống kê từ WordPress cho thấy hiện có khoảng 52% lượt cài đặt dễ bị tấn công. Với hơn một nửa trong số 700.000 trang web được cài đặt của Trình quản lý tệp dễ bị tấn công. Chúng tôi sẽ nói về điều này trong bài viết tiếp theo của chúng tôi

Tin tặc có thể khai thác thư mục wp-content tất cả các loại hoạt động độc hại – đánh cắp dữ liệu khách hàng, bán sản phẩm bất hợp pháp, gửi email rác (đọc – tấn công lừa đảo wordpress), lừa khách hàng tải xuống phần mềm độc hại, sử dụng các kỹ thuật spam liên kết SEO mũ đen & SEO để xếp hạng . Các vụ hack phổ biến khác bao gồm

Nếu trang web của bạn bị tấn công, khách hàng của bạn sẽ không tin tưởng trang web của bạn nữa, trang web của bạn thậm chí có thể bị Google đưa vào danh sách đen và bị máy chủ lưu trữ web WordPress của bạn tạm ngưng

⭐ Cách truy cập thư mục nội dung WP

Bước đầu tiên để có thể xử lý thư mục wp-content trong bản cài đặt WordPress của bạn là biết cách truy cập nó (vì điều này là không thể từ “trang web của bạn”)

Có hai cách dễ dàng để làm điều đó, và mọi người chọn cách nào họ thích nhất

Sử dụng trình duyệt tệp của cPanel

nó cũng rất tốt và nhanh hơn nhiều khi quản lý tệp, đó là truy cập trình khám phá tệp mà bạn tìm thấy trong cPanel của mình

Và khi đã vào bên trong, cài đặt WordPress của bạn, thông thường, nằm trong thư mục gốc (root) của thư mục có tên public_html

Để trang web WordPress của bạn hiển thị, có hai yếu tố giúp trang web đó có thể hoạt động (đối với trang web của bạn và đối với bất kỳ trang web WordPress nào)

Cơ sở dữ liệu MySQL (nơi cấu hình và nội dung văn bản của trang web của bạn) được quản lý trong phpMyAdmin

Các tệp được tải xuống từ WordPress. org (bằng tay hoặc tự động bởi trình cài đặt WordPress trong cPanel)

Bên trong thư mục public_html, bạn sẽ tìm thấy ba thư mục con chính

• Thư mục wp-admin –
  

Thư mục wp-admin có liên quan trực tiếp (khuôn mặt của tôi bây giờ là “hiển nhiên”) với những gì bạn thấy trên bảng điều khiển WordPress

Do đó, để truy cập bảng điều khiển độc lập này, bạn phải viết địa chỉ. www. tên miền của bạn. com/wp-admin

Với điều này, bạn đang nói với trình khám phá Internet đang làm nhiệm vụ, hãy “xem” thư mục gốc của tên miền đó có gì và cụ thể hơn là bên trong thư mục có tên wp-admin

Rõ ràng, WordPress đã chịu trách nhiệm thêm một lớp bảo mật để truy cập thư mục được đề cập (do đó, nó yêu cầu bạn nhập tên người dùng và mật khẩu)

Các tập tin trong thư mục này không được sửa đổi. Tất cả các tùy chọn mà bạn thay đổi trong bất kỳ plugin, tùy chọn WordPress hoặc tương tự nào đều được đăng ký trong bảng tương ứng trong cơ sở dữ liệu (không bao giờ có trong các tệp trong thư mục)

• Thư mục bao gồm Wp –
  

Thư mục wp-gộp có phần ít được mọi người biết đến hơn nhưng cũng quan trọng không kém

Chúng ta có thể nói một cách đơn giản rằng thư mục này giống như “hệ thống thần kinh” của WordPress và nhờ có nó, mọi thứ bạn nhìn thấy trên trang web của mình đều hoạt động bình thường.

Đó là, nó là một thư mục đảm bảo rằng tất cả lớp “mã” mà bạn không nhìn thấy, làm cho những gì bạn nhìn thấy, hoạt động tốt

• Thư mục nội dung wp –
  

Đây là thư mục trung tâm của bài viết này và là thư mục trung tâm của trang web của bạn, vì đó là nơi lưu trữ tất cả các tệp không phải văn bản (văn bản được lưu trữ trong cơ sở dữ liệu)

Ví dụ về các tệp, phần lớn là ảnh hoặc hình ảnh, ngoài ra còn có pdf, âm thanh, video, gif, tệp nén và bất kỳ loại tệp nào khác mà bạn quyết định sử dụng trong nội dung trang web của mình (trong một bài viết, trên

Tại sao điều quan trọng là bạn phải biết chuyên sâu về nội dung wp?

Thư mục wp-content là thư mục duy nhất sẽ phát triển khi bạn thêm nội dung vào trang web của mình, dưới dạng tệp, plugin, chủ đề, v.v.

Nội dung wp đại diện ngay từ đầu, ít nhất, 50% toàn bộ cài đặt WordPress của bạn. (bạn càng thêm nhiều nội dung, tỷ lệ đó sẽ càng cao)

Vì đây là thư mục duy nhất “liên tục thay đổi” do hành động của người dùng hoặc plugin hoặc chủ đề bạn sử dụng, điều đó có nghĩa là đó là thư mục duy nhất bạn cần bảo vệ (tạo bản sao lưu hoặc sao lưu) để “sao chép”

Biết thư mục này cũng sẽ cho phép bạn giải quyết nhiều vấn đề chính trong WordPress điển hình thường xảy ra. (màn hình trống, lỗi plugin, không tương thích, v.v. )

Đọc thêm

• Chi phí bảo trì trang web WordPress

⭐ Nội dung Wp chứa gì?

Thư mục wp-content theo mặc định có thêm ba thư mục con – plugin, chủ đề và tải lên

Tuy nhiên, khi trang web WordPress phát triển, nhiều plugin và chủ đề sẽ được thêm vào dẫn đến việc tạo nhiều thư mục hơn. Để hiểu từng mục, chúng tôi đã chia thư mục thành một số phần

• Thư mục plugin
• Thư mục chủ đề
• Thư mục tải lên

Các thư mục phổ biến khác trong nội dung Wp

• mu-plugin
• ngôn ngữ
• Nâng cấp
• Plugin cụ thể

Đọc thêm

• Plugin bảo mật WordPress tốt nhất năm 2020 [Miễn phí & Trả phí]

thư mục chủ đề

Tất cả các mẫu mà bạn cài đặt trên trang web của mình, cũng như các chủ đề con của chúng (“mẫu con”), sẽ vào thư mục này

Thư mục này rất quan trọng vì nếu bạn muốn sử dụng tốt nó, bạn phải ghi nhớ rằng

Một mẫu (theme) tốt cho WordPress, phải đi kèm với một mẫu con (hoặc chủ đề con)

Nếu mẫu đó không đi kèm với chủ đề con “, hãy tạo một

Mẫu “cha mẹ”, bạn không bao giờ được chạm hoặc chỉnh sửa nó, vì các tệp của nó sẽ được thay thế bằng tệp mới, mỗi khi bạn cập nhật mẫu đã nói từ bảng điều khiển WordPress

Trong chủ đề con đã nói, bạn sẽ tìm thấy một tệp có tên là hàm. php. Tệp này là tệp quan trọng nhất trong số mọi thứ liên quan đến tính thẩm mỹ của trang web của bạn và đó là nơi bạn sẽ thêm các chức năng khác nhau, khi một số plugin hoặc hướng dẫn mà bạn tự làm yêu cầu bạn cung cấp.

Đọc thêm

• Bảo mật chủ đề WordPress – Cách đảm bảo an toàn cho chủ đề của bạn
• Quét phần mềm độc hại trong WordPress Themes & Plugins

thư mục plugin

Nó là một trong những thư mục được yêu thích nhất và bị ghét nhất cùng một lúc

Về lý thuyết, trong một bản cài đặt WordPress, nên có số lượng plugin tối thiểu có thể, trong số những thứ khác, để tránh sự không tương thích giữa chúng

Điều xảy ra trong “đời thực” là để tạo ra trang web trong mơ của chúng ta, nhiều lần chúng ta phải “kéo plugin” và cài đặt nhiều hơn số lượng mong muốn

Miễn là các plugin này có chất lượng và mọi thứ được tối ưu hóa và theo dõi, về lý thuyết, mọi thứ sẽ ổn

Vâng, đúng là như vậy, ngay khi website của bạn gặp sự cố thì gần như 99% sẽ liên quan trực tiếp đến một trong các plugin mà bạn đã kích hoạt.

Đó là lý do tại sao đây là nơi đầu tiên bạn phải đến để có thể “hủy kích hoạt” thủ công tất cả các plugin trên web và kích hoạt từng plugin một để xem plugin nào gây ra lỗi này

Hãy nhớ rằng bằng cách kích hoạt chế độ gỡ lỗi, bạn sẽ có nhiều thông tin hơn về bất kỳ lỗi nào xảy ra trên trang web của mình

Thư mục tải lên

Nó là một thư mục quan trọng của toàn bộ cài đặt WordPress

Đây là thứ sẽ “béo hơn” nhiều nhất khi trang web của bạn phát triển về nội dung, vì như tên gọi của nó, đó là nơi tất cả các tệp đa phương tiện mà bạn sử dụng trong bài đăng tùy chỉnh của mình sẽ được tải lên, các loại (bài đăng, trang, . )

Theo mặc định, cách các tệp được lưu trữ là theo “năm và tháng” (năm/tháng), nhưng có nhiều người dùng (bao gồm cả tôi) không muốn điều này xảy ra để sau này họ có thể dễ dàng tìm thấy nhiều tệp hơn

Nhiều người không biết, nhưng điều này có thể được cấu hình dễ dàng từ các tùy chọn WordPress trong bảng điều khiển quản trị viên

Đọc thêm

• Cách vô hiệu hóa duyệt thư mục trong WordPress
• Tối ưu hóa & sửa chữa cơ sở dữ liệu WordPress

a) mu-plugin

mu-plugin được gọi là plugin phải sử dụng. Các plugin này được gọi như vậy vì chúng rất quan trọng đối với hoạt động bình thường của trang web WordPress. Chẳng hạn, một số chủ đề đi kèm với các plugin mu cần thiết. Nếu các plugin này bị tắt, chủ đề của chúng tôi sẽ không hoạt động bình thường, điều này có thể dẫn đến sự cố hoàn toàn của trang web. Các plugin này được các nhà phát triển gắn nhãn là mu-plugin để ai đó vô tình vô hiệu hóa nó

b) Ngôn ngữ

Chúng tôi có một tùy chọn để tạo trang web WordPress bằng các ngôn ngữ khác nhau. Nếu các ngôn ngữ khác tiếng Anh được chọn, WordPress sẽ lưu trữ các tệp cần thiết của chúng vào thư mục này

c) Nâng cấp

Khi chúng tôi cập nhật trang web của mình lên phiên bản mới hơn, một thư mục tạm thời có tên Nâng cấp sẽ được tạo

d) Các plugin cụ thể

Trong một số trường hợp, plugin có thể tạo thư mục riêng trên trang web của bạn. Chúng thường có mặt bên trong thư mục wp-contents. Chẳng hạn, chúng tôi đã cài đặt plugin WP Super Cache và nó đã tạo thư mục riêng có tên là 'cache'

Tùy thuộc vào dịch vụ lưu trữ mà bạn cài đặt WordPress hoặc ngôn ngữ mà bạn cài đặt, bạn có thể tìm thấy các thư mục mặc định khác trong cài đặt của mình

Ngôn ngữ (nếu trang web không được cài đặt bằng tiếng Anh theo mặc định)

Upgrade (chính là thư mục mà WordPress tự dùng mỗi khi update lên bản cao hơn)

Một số plugin có thư mục riêng, chúng cài đặt trong phần này. Các thư mục này thường được khuyến nghị khi tạo bản sao lưu cho trang web của bạn vì chúng thường chứa thông tin quan trọng

Nếu bạn sử dụng plugin bộ đệm, bạn cũng có thể tìm thấy các thư mục chứa các tệp "bộ đệm" được lưu trữ trong đó ở cấp độ này

⭐ Làm cách nào để bảo vệ thư mục tải lên nội dung wp?

Ba biện pháp sau đây cần được quan tâm trong khi bảo vệ nội dung wp và thư mục tải lên

• Sao lưu kho lưu trữ nội dung WP của bạn
• Thay đổi tên thư mục wp-content của bạn
• Ẩn thư mục nội dung WP

Sao lưu kho lưu trữ nội dung WP của bạn

Sao chép toàn bộ dữ liệu của trang web được gọi là sao lưu. Thực tiễn sao lưu này có thể bảo vệ chúng tôi nếu có bất kỳ điều gì sai trái xảy ra với trang web khỏi bất kỳ hành động xóa ngẫu nhiên nào hay bất kỳ thiệt hại nào do tin tặc gây ra

Các plugin sao lưu có thể được sử dụng để sao lưu trang web. Một plugin rất được chúng tôi khuyên dùng do nó hoạt động hoàn hảo trong khi khôi phục các bản sao lưu. Hơn nữa, nó rất dễ cài đặt và cũng tự động sao lưu trang web WordPress trong vòng vài phút

Bạn cũng có thể khôi phục có chọn lọc nội dung wp bằng plugin. Chúng tôi khuyên bạn nên sao lưu wordpress theo cách thủ công

Thay đổi tên nội dung Wp của bạn

đổi tên wp-content là một bước hướng tới một trang web an toàn hơn. Theo mặc định, đối với tất cả các trang web WordPress, tên của thư mục chứa nội dung, chủ đề và plugin của bạn được gọi là wp-content. Do đó, mọi người dễ dàng xác định và xác định vị trí của nó. Điều đó có nghĩa là hacker cũng có thể can thiệp vào thư mục này và tìm cách đột nhập vào trang web. Vì vậy, việc bảo vệ thư mục này bằng cách thay đổi tên của nó trở nên cực kỳ quan trọng.

Nó có thể được thực hiện bằng hai cách – sử dụng plugin hoặc thủ công

Danh sách kiểm tra được đề xuất

• Danh sách kiểm tra bảo trì WordPress
• Danh sách kiểm tra bảo mật WordPress 2020
• Danh sách kiểm tra bảo mật tuân thủ HIPAA
• Danh sách kiểm tra bị hack WordPress
  

Sử dụng Plugin (An toàn)

WP Hide & Security Enhancer là một plugin có thể phục vụ mục đích cho chúng tôi. Chúng tôi khuyên dùng plugin này do các tính năng bổ sung của nó vì nó không chỉ ẩn nội dung wp mà cả các tệp WordPress khác

Thủ công (Không khuyến nghị)

Việc đổi tên thư mục wp-content theo cách thủ công yêu cầu quyền truy cập vào máy chủ web của bạn. Chúng tôi không khuyến nghị phương pháp này vì một lỗi nhỏ nhất có thể làm hỏng trang web

• Bước 1. Truy cập tài khoản lưu trữ web của bạn và truy cập cPanel để truy cập Trình quản lý tệp của trang web
• Bước 2. Xác định vị trí thư mục wp-content và nhấp chuột phải vào nó. Bây giờ chọn tùy chọn 'Đổi tên' và thay đổi tên

Ẩn thư mục nội dung WP

Trong một số trường hợp, tin tặc có thể yêu cầu thư mục wp-content với sự trợ giúp của mã độc có URL bên trong. Đường dẫn URL của thư mục này thường là tên miền của bạn. com/wp-content hoặc tên miền của bạn. com/public_html/wp-content

Đường dẫn URL này không được sử dụng bên trong trình duyệt nhưng được sử dụng bên trong mã của trang web. Tin tặc tạo mã độc hại của chúng để trích xuất loại thông tin này để chúng có thể đưa mã của chính chúng vào lợi ích của chúng

Sửa lỗi quan trọng

Nội dung của wp-content đôi khi có thể là nguyên nhân gây ra các lỗi WordPress phổ biến. Cụ thể là những nguyên nhân do plugin và chủ đề gây ra

Khi điều đó xảy ra và trang web của bạn không thể truy cập được, bạn có thể phải truy cập vào thư mục plugin để hủy kích hoạt một số plugin theo cách thủ công và quay lại phần phụ trợ của WordPress

Đối với những trường hợp đó, chúng tôi có nhiều bài viết chi tiết về một số lỗi wordpress phổ biến nhất, đó là Bắt lỗi 503 trong WordPress?

• Gặp lỗi 504 Gateway Timeout trong WordPress
• Nhận lỗi 405 Method Not Allowed trong WordPress
• Nhận lỗi 404 Page Not Found trong WordPress
• Nhận màn hình trắng chết chóc trong WordPress

Suy nghĩ cuối cùng

Rất tốt là bạn đã dành vài phút để đọc về thư mục wp-content vì chúng tôi đã biết rằng loại thông tin này rất khó tiếp thu

Nhưng hãy nghĩ rằng thời gian bạn đầu tư ngày hôm nay để đọc bài viết sẽ tiết kiệm hàng giờ khi bạn gặp bất kỳ vấn đề hoặc nghi ngờ nào liên quan đến các tệp này vì bạn sẽ biết trực tiếp nơi cần tìm, cách tìm và phải làm gì

Thư mục wp-content là một phần rất cần thiết của trang web WordPress. Do đó, nó cần được quan tâm đúng mức về bảo mật và sao lưu

Có những tệp và thư mục quan trọng khác cũng cần được bảo vệ. Chúng tôi khuyên bạn không nên chỉ bảo vệ một vài thành phần mà toàn bộ trang web

Bắt đầu từ hôm nay, hãy biến thư mục wp-content thành đồng minh tốt nhất cho tương lai của dự án web của bạn và coi bản thân bạn, từ giờ trở đi, là một người dùng WordPress cao cấp hơn nhiều so với mức trung bình

Tại sao tệp đã tải lên không thể được chuyển sang tải lên nội dung wp?

Thư mục tải lên WordPress ở đâu?

Đường dẫn tải lên là gì?