Как настроить и защитить содержимое wp-content в WordPress

Раздел: Администрирование CMS -> Управление WordPress

Основные методы управления содержимым wp-content

Как предотвратить прямой доступ к папке wp-content?

Наиболее эффективный способ защиты содержимого wp-content - настройка прав доступа и добавление файла .htaccess в корень папки wp-content. Это блокирует просмотр списка файлов и доступ к критическим каталогам, таким как plugins, themes, uploads.

# .htaccess в wp-content
Options -Indexes
Deny from all
# Разрешить только определенные типы файлов
<FilesMatch "\.(php|phar|phtml|php3|php4|php5|php7|pht)$">
  Require all denied
</FilesMatch>
# Разрешить загрузку изображений и стилей
<FilesMatch "\.(jpg|jpeg|png|gif|ico|css|js|svg|webp)$">
  Require all granted
</FilesMatch>

Пояснение:

  • Options -Indexes - запрещает вывод списка файлов каталога.
  • Deny from all - блокирует любой доступ по умолчанию, затем с помощью FilesMatch разрешаются только безопасные расширения.

Этот подход защищает от прямого вызова файлов PHP в папках тем и плагинов, что предотвращает уязвимости.

Возможные проблемы:

  • Если на сервере не включен модуль mod_rewrite или mod_authz_core, правила не сработают - проверьте конфигурацию Apache.
  • Слишком строгие ограничения могут заблокировать загрузку медиафайлов через админку - добавляйте только необходимые расширения.
  • После добавления .htaccess может появиться ошибка 403 при входе в админку. Решение: убедитесь, что в корне WordPress есть .htaccess с правилами для работы с ЧПУ.

Как изменить расположение папки wp-content?

Цель - повысить безопасность, скрыв стандартную структуру. Используется в конфигурационных файлах wp-config.php. Добавьте строки:

define('WP_CONTENT_DIR', dirname(__FILE__) . '/custom-content');
define('WP_CONTENT_URL', 'http://example.com/custom-content');

Пояснение:

  • WP_CONTENT_DIR - задаёт путь на сервере к новой папке.
  • WP_CONTENT_URL - URL новой папки для корректной загрузки ресурсов.

После изменения необходимо переместить все содержимое старой папки wp-content (plugins, themes, uploads) в новую и проверить работу сайта.

Типичные ошибки:

  • Если не скопировать все файлы, плагины и темы перестанут работать - перенесите всю иерархию.
  • Ошибка 404 на файлы стилей и изображений - проверьте правильность URL в константах и настройках блога.
  • Некоторые плагины и темы используют жёстко прописанные пути к wp-content - они могут сломаться. Используйте только если уверены в совместимости.

Как управлять медиафайлами через админку и ограничивать загрузку?

Стандартный способ для администратора - настройки в разделе Медиафайлы (Настройки > Медиафайлы). Там можно выбрать организацию папок по месяцам и годам, что упрощает обход wp-content/uploads.

// В functions.php можно изменить максимальный размер загрузки
add_filter('upload_size_limit', function($size) {
  return 20 * 1024 * 1024; // 20 МБ
});

Пояснение:

Фильтр upload_size_limit динамически меняет лимит, установленный в PHP (upload_max_filesize). В админке появляется соответствующее уведомление.

Проблема: если фактический лимит PHP меньше, загрузка всё равно не удастся. Проверьте php.ini, задайте:

upload_max_filesize = 30M
post_max_size = 30M

Как создать собственную папку в wp-content для пользовательских файлов?

Цель - хранить файлы, не привязанные к медиатеке, например, временные файлы или резервные копии. Используйте функцию wp_mkdir_p() в functions.php вашей темы или плагина.

$dir = WP_CONTENT_DIR . '/my-custom-folder';
if (!file_exists($dir)) {
  wp_mkdir_p($dir);
  // Установка прав 0755
  chmod($dir, 0755);
}

Пояснение:

wp_mkdir_p создаёт папку рекурсивно, если её нет. После создания может потребоваться установить правильные права для записи (0755).

Ошибка: если веб-сервер не имеет прав на запись в wp-content, создание папки не удастся. Решение - проверить владельца папки (обычно www-data или apache) и при необходимости изменить через FTP или командой chown.

Как получить содержимое папки wp-content через PHP на фронтенде?

Цель - показать список файлов из определённого каталога, например, вывести все изображения из папки uploads. Используется класс WP_Filesystem для безопасной работы с файловой системой.

global $wp_filesystem;
if (!function_exists('WP_Filesystem')) {
  require_once(ABSPATH . 'wp-admin/includes/file.php');
}
WP_Filesystem();
$upload_dir = wp_get_upload_dir();
$files = $wp_filesystem->dirlist($uploads['basedir'] . '/2025/01/');
foreach ($files as $file) {
  $filename = $file['name'];
  $size = $file['size'];
  echo "<p>$filename ($size bytes)</p>";
}

Пояснение:

Метод dirlist возвращает массив файлов с размерами, временем изменения и правами. Это безопаснее, чем использовать встроенные сканирования.

Частая ошибка: неинициализирован WP_Filesystem или забыто подключение файла. В результате вызов dirlist возвращает false. Всегда проверяйте return value.

Как управлять файлами wp-content без FTP с помощью плагина?

Цель - онлайн-редактирование и удаление файлов прямо из админки. Популярный плагин - WP File Manager (File Manager). Он добавляет меню в админ-панель и позволяет просматривать, копировать, удалять и редактировать файлы в wp-content.

// Пример активации через composer (не обязательно)
composer require mihdan/wp-file-manager

Пояснение:

Плагин использует elFinder и имеет встроенную защиту. После установки проверьте доступ к папке wp-content: настройте права так, чтобы только администратор мог заходить в интерфейс.

Проблемы безопасности: не рекомендуется устанавливать такой плагин на продакшн или ограничивать доступ по IP. Если сайт взломан, злоумышленник получит полный контроль над файлами. Используйте только временно или закройте страницу плагина через .htaccess.

Расширенные примеры работы с wp-content

1. .htaccess для детальной фильтрации

Более сложный пример блокировки доступа к папкам с PHP-скриптами, но с разрешением на доступ к определённым файлам через rewrite.

Пример 
# Запрещаем доступ ко всем PHP-файлам в wp-content
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/wp-content/.*\.php$ [NC]
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/akismet/.*$ [NC]
RewriteRule .* - [F,L]

Результат: все PHP-файлы в wp-content, кроме папки akismet, будут возвращать 403. Это может пригодиться, если нужно оставить доступ к какому-то легитимному скрипту плагина.

403 Forbidden при попытке обратиться к /wp-content/themes/twentytwentyfour/some.php

2. Использование WP_Filesystem для рекурсивного удаления папки

Пример безопасного удаления каталога с содержимым в wp-content:

Пример 
function delete_recursive($path) {
  global $wp_filesystem;
  if (!function_exists('WP_Filesystem')) {
    require_once ABSPATH . 'wp-admin/includes/file.php';
  }
  WP_Filesystem();
  if ($wp_filesystem->is_dir($path)) {
    $wp_filesystem->rmdir($path, true); // true означает рекурсивное удаление
  }
}
delete_recursive(WP_CONTENT_DIR . '/cache');

Результат: папка cache и всё её содержимое будет удалено.

Папка /wp-content/cache больше не существует.

3. Изменение структуры wp-content с помощью плагина-помощника

Пример кода для плагина, который автоматически перемещает папку wp-content при активации:

Пример 
register_activation_hook(__FILE__, 'move_wp_content');
function move_wp_content() {
  $old = ABSPATH . 'wp-content';
  $new = ABSPATH . 'custom-content';
  if (!file_exists($new)) {
    rename($old, $new);
    $config = file_get_contents(ABSPATH . 'wp-config.php');
    $config = str_replace("'wp-content'", "dirname(__FILE__) . '/custom-content'", $config);
    file_put_contents(ABSPATH . 'wp-config.php', $config);
  }
}

Важно: перед использованием сделать резервную копию wp-config.php. Этот код следует встроить в mu-плагин.

4. Обработка ошибок при загрузке через wp_handle_upload

Создание собственной функции для загрузки изображения в папку внутри wp-content с проверкой на дубликаты:

Пример 
function custom_upload($file) {
  $upload_dir = wp_upload_dir();
  $filename = $file['name'];
  $target_file = $upload_dir['path'] . '/' . $filename;
  $i = 1;
  while (file_exists($target_file)) {
    $pathinfo = pathinfo($filename);
    $target_file = $upload_dir['path'] . '/' . $pathinfo['filename'] . '-' . $i . '.' . $pathinfo['extension'];
    $i++;
  }
  if (move_uploaded_file($file['tmp_name'], $target_file)) {
    return $target_file;
  }
  return new WP_Error('upload_error', 'Ошибка перемещения файла');
}

Результат: файл загружается с уникальным именем в папку uploads.

Файл myimage.jpg создан как myimage-1.jpg

5. REST API для работы с файлами wp-content

Пример регистрации своего endpoint для создания папки в wp-content:

Пример 
add_action('rest_api_init', function () {
  register_rest_route('custom/v1', '/create-folder', array(
    'methods' => 'POST',
    'callback' => 'create_folder_callback',
    'permission_callback' => function () {
      return current_user_can('manage_options');
    }
  ));
});
function create_folder_callback($request) {
  $folder = sanitize_text_field($request->get_param('folder'));
  $dir = WP_CONTENT_DIR . '/' . $folder;
  if (!file_exists($dir)) {
    wp_mkdir_p($dir);
    return new WP_REST_Response(array('message' => 'Папка создана', 'path' => $dir), 200);
  }
  return new WP_REST_Response(array('message' => 'Папка уже существует'), 400);
}

Использование: отправка POST-запроса с токеном и параметром folder.

HTTP доступ к wp-adminСодержимое WordPress (www)

Содержимое WordPress (www) - comments

En
Www wp content php (php)