【网站安全】在宝塔面板中设置指定目录禁止运行PHP的方法

朋友辛苦运营着一个外贸独立网站，梦想着早日实现财富自由。

眼看着网站有点起色了，就被“黑客”挂马了，

google搜索排名全无，网站数据也被篡改得不成样子。

可谓损失惨重，又要从头再来！

所以还是建议大家提前做好安全设置，有备无患。

以下为风险操作，请请注意做好备份。

其实朋友只是忘记给有写入权限的目录设置禁止执行PHP脚本，

导致整个站点被黑客上传后门，所有数据被一锅端。

假如你要禁止站点中runtime、upload 目录中的php权限，

这个，还要分Nginx、Apache两种环境情况设置，

以宝塔面板为例，请参考以下说明部署：

一、在宝塔面板Nginx环境下设置指定目录禁止运行PHP的方法：

1、打开【宝塔面板】，点击【网站】，找到你要设置的【站点】，点击【设置】

2、点击【配置文件】，

在  【 #PHP-INFO-START  PHP引用配置，可以注释或修改】这一行上面，插入一下代码，点击【保存】。

# 禁止 runtime、upload 目录执行 PHP 及相关脚本
location ~* /(runtime|upload)/.*\.(php|php5|php7|php8|phtml|phps)$ {
    deny all;  # 拒绝所有访问
    return 403;  # 返回 403 禁止访问状态码
}

具体目录名字，按你实际需求填写即可。

3、点击【软件商店】，点击【已安装】，点击【Nginx】，点击【重启】即可。

4、实际测试，可以往 runtime 目录传一个 1.php 文件，访问该网址，测试是否成功，如果提示403错误，这证明设置成功了。

二、在宝塔面板Apache环境下设置指定目录禁止运行PHP的方法：

以z-blog程序设置为例，以下为需要写入权限的目录

zb_users/cache/
zb_users/data/
zb_users/logs/
zb_users/upload/

我们需要禁止以上这些目录的php脚本权限。

1、打开【宝塔面板】，点击【网站】，找到你要设置的【站点】，点击【设置】

2、点击【伪静态】，插入以下代码，点击【保存】。

RewriteEngine on RewriteCond % !^$
RewriteRule zb_users/cache/(.*).(php)$ – [F]
RewriteRule zb_users/data/(.*).(php)$ – [F]
RewriteRule zb_users/logs/(.*).(php)$ – [F]
RewriteRule zb_users/upload/(.*).(php)$ – [F]

3、无需重启Apache，可以直接测试cache目录传一个 1.php 文件，测试是否成功，如果提示403错误，这证明设置成功。

好了，今天就说到这里吧，

有空了，给小伙伴讲讲网站文件权限的设置方案，

这样网站安全就有了双重保障了。

温馨提示：因设置服务器站点配置的风险操作，请务必谨慎操作，后果自负。