En WordPress existen varios directorios con permisos de escritura, en los cuales, podemos subir contenido como por ejemplo archivos de texto, videos, imágenes etc... el problema, es que estos directorios al tener permisos de escritura pueden ser vulnerables y pueden ser aprovechados para colarnos malware, uno de los directorios más vulnerables es /uploads y es en el cual nos centraremos.
Para deshabilitar la ejecución de PHP en los directorios que únicamente están pensados para guardar archivos e impedir que cualquier usuario pueda ejecutar código PHP en nuestro WordPress es muy sencillo, ya que solamente tendremos que crear un archivo llamado .htaccess con un simple código.
En esta guia crearemos el archivo via SSH, pero podéis crear el archivo con cualquier editor de texto y subirlo por ejemplo vía FTP o el administrador de archivos del panel de hosting.
Crea el archivo .htaccess en el directorio /uploads
Si estamos usando SSH, podemos crear el archivo con estos comandos.
Nos colocamos en el directorio /uploads
cd public_html/wp-content/uploads
Creamos el archivo .htaccess
touch .htaccess
Para agregar el codigo usaremos el editor "nano" de modo que el comando sería el siguiente.
nano .htaccess
Una vez en nano, insertamos el codigo y guardamos pulsando "ctrl + x".
<Files *.php>
deny from all
</Files>