WordPress安全：禁止通过URL直接访问PHP文件

WordPress 的wp-content、wp-includes目录有用户安装的主题、插件和 WordPress 核心文件，为了避免 PHP 文件出现安全漏洞风险，我们最好通过设置 Nginx 规则，禁止用户可以通过 URL 直接访问 PHP 文件。

设置 Nginx 规则

在网站的 Nginx 规则中，添加如下代码：

location ~ ^/(wp-content|wp-includes)/.*\.php$ {
      return 404;
    }

如果你用的是宝塔面板，需要将规则添加到 PHP 引用配置之前，如下图所示：