网站安全设置教程：伪静态规则禁止目录运行指定脚本

在这个复杂的网络世界，免费、白嫖，是所有人的爱好，懒惰，成为了笑着帮人数钱的傻子。网站经常被挂马，网站经常被篡改，但是又找不到原因。织梦容易被挂马？不存在的。织梦程序不安全？不存在的。利用伪静态规则禁止目录运行指定脚本，让你的网站更加安全。啥也不会，啥也不改，啥也不看，啥也不做，网站被挂码，没有资格说程序不安全。

网站容易被挂马

无论你使用的是什么程序，都不可能没有漏洞，只是使用的人少，研究破解的人少罢了，对于市面上的开源程序，都是存在一些漏洞的，只是没有人去挖掘罢了。当然，我也不是黑客，我也不是渗透专攻，整天把时间都花费在软件评测上面，真黑客真的很少，而且，黑客也不是傻子，傻到去专攻开源程序网站，这种没有价值的网站都是软件专攻。

就如你所想，他们只是熟用了一些软件，有的软件能扫描你网站的漏洞，识别你的网站程序，甚至能够直接给你网站挂马，哎，这操蛋的网络，就是这么可怕。不过，今天，小千给你分享一下，伪静态规则禁止目录运行指定脚本，学会了这个，能让你的网站增加99%物理防御，让你的网站，不会再受假黑客干扰，把网站安全做到极致，肯定是离不开动手操作的。

PHP的SG11扩展

这是一个PHP解密插件，需要安装sg11扩展的，都是半加密、全加密程序，而这个加密程序，安全性未知，所以，只要是需要安装SG11扩展的，这种程序、这种模板，无论是收费的，还是免费的，或者是做得赛过貂蝉，也是在帮别人引流罢了。为什么要加密，程序保护，源码保护，不不不，都是为了以后，方便给你的网站套码，sg11扩展的套路真的深。

所以，开源程序、免费程序、免费模板，只要是半加密、半开源、或者是全加密的程序，重要的话说三遍，一定不要使用，一定不要使用，一定不要使用，这个程序的安全性未知。有句话叫，防人之心不可无，害人之心不可有，而这个加密，无论是善意，还是恶意的，甚至是故意的，作为站长，理智的想想，想想你就明白了。

禁止目录运行指定脚本

为什么要设置目录禁止运行PHP。因为，比如我们的网站，无论是采集的图片，还是上传的图片，或者是样式的图片，都是存放在图片目录的，比如：uploads文件夹，但是，如果，在不禁止目录运行php脚本的时候，一个图片木马就能把你的网站给篡改了。在没有防护的情况下，这是相当危险的，所以，禁止php、asp、js、html等指定脚本，是非常有必要的。

如果你的是Apache环境

①、Apache下禁止指定目录运行PHP脚本

linux主机的用户一般都是Apache环境，使用 .htaccess 文件来设置，如果你网站根目录已经存在这个文件，那就复制一下代码添加进去。

RewriteEngine on
RewriteCond % !^$
RewriteRule a/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php|htm)$ – [F]
RewriteRule uploads/(.*).(php)$ – [F]
RewriteRule images/(.*).(php)$ – [F]

如果你的是Nginx环境

②、Nginx下禁止指定目录运行PHP脚本

注意：这段配置文件一定要放在 location ~ .php(.*)$ 的前面才可以生效，配置完后记得重启Nginx生效。

location ~ ^/(a|templets|uploads|images)/(.*)\.(php|htm)$ {
	return 404;
}

或者

location ~* /(a|templets|uploads|images)/(.*)\.(php|htm)$ {
	deny all;
}

两个Nginx的伪静态规则都可以，用其中一个就行。

检测添加完成后是否生效

设置好了以后，还要测试是否生效。这步很重要，虽然设置好了，但是还是要测试一下有没有效果，测试有没有生效，可以随便创建一个PHP文件传到uploads文件夹下，执行：域名/uploads/测试文件.php  如果不能打开说明生效。相反，如果能打开，就不生效，你得想办法让它生效才行。

其实，所谓的安全，是没有绝对的安全的，程序需要不断更新，网站也需要不断维护，如果，你不管理，它就不理你。说不定哪天遇到高手，就被挂马了也不一定。所以，网站安全一定要做到位，能想到的，尽量做好。虽然很麻烦，但是，如果，网站上线了，网站首页被篡改的时候，才后悔跺脚，你才发现，原来，别人说的免费，都是为别人引流罢了。

作为网站管理员，不要让所有的目录都暴露在外，不要让所有的目录都能运行php脚本，特别是图片上传目录、会员上传头像目录。做网站，是需要管理的，哪怕，你做的是采集站，采集到的图片，或者外链别人的图片，都可以有木马，想要网站安全，作为站长，就要付出时间，去折腾、去维护，网站才会安全。

在互联网上，免费下载、免费使用，喜欢白嫖、经常白嫖，这都不是重点，重点是，下载完成以后，作为站长的你，起码要改一下，查一下，看一下程序、文件代码。仔细检查，打开来看一下，网站程序，网站文件，网站代码，是否有加密、跳转、外链、木马、后门之类的吧，都是免费下载，直接上线安装，那就是等于帮人引流嘛。

众多的站长，一般都是不理会图片木马的，最后，最后的最后，小千还是那句话，网站的安全，在于站长，而不是程序，不要抱怨，你所使用的程序，自带漏洞、自带后门，自带木马，只有站长，不断的维护、更新、修复、打补丁，网站才会更加安全。网站日志经常看，发现漏洞就去补，发现木马就要清，肯花时间去折腾，你的网站才会更加安全。