默认情况下，WordPress 某些目录是可读写的，以便我们将主题、插件、图像、视频等文件上传到网站目录中。但是，如果这个功能被别有用心的人利用就会他们将一些后门访问文件或恶意软件上传到我们的网站从而黑掉我们网站。这些恶意文件通常伪装成核心 WordPress 文件，而且大多数都是用 PHP 编写，还可以在后台运行，以获得对网站各个方面的完全访问权限。所以我们很有必要在某些目录中禁用 PHP 执行，这样一来任何 PHP 文件都不会在这些目录中运行。今天我们就跟大家介绍一下如何使用.htaccess 文件在 WordPress 中禁用 PHP 执行。

要保护网站免受后门访问文件的侵害，我们需要创建一个.htaccess 文件并将其上传到网站的/wp-includes/和/wp-content/uploads/目录中。方法很简单，只需使用记事本（Mac 上的 TextEdit）等文本编辑器在计算机上创建一个空白文件，并将以下代码粘贴到其中：

// .htaccess
deny from all

然后将文件另存为.htaccess，最后将此文件上传到 WordPress 站点的/wp-includes/和/wp-content/uploads/文件夹内即可。添加带有上述代码的.htaccess 文件后，这些目录将禁止运行任何 PHP 文件。使用这个.htaccess 技巧可以帮助我们强化 WordPress 站点的安全性，但是也不是万能。