Categoria:WordPress

Ocultando o .user.ini se você utiliza o NGINX (NGINX – WordPress – Wordfence)

Na documentação do Wordfence (https://www.wordfence.com/help/firewall/optimizing-the-firewall/#hide-userini-nginx) ele diz para incluir um dos seguintes códigos no arquivo “nginx.conf“:

location ~ ^/\.user\.ini {
deny all;
}

ou:

location ~ ^/wordpress/\.user\.ini {
deny all;
}

Porém algumas coisas não ficam muito claras, a primeira é que essa diretiva deverá ser incluída dentro da seção (ou das seções) server { }, e dependendo da sua instalação, o nginx.conf incorpora os arquivos dos vhosts da pasta /etc/nginx/sites-available, que são os arquivos onde ficam as configurações server{}, portanto é aqui que você deverá incluir a diretiva. Você deverá incluir a diretiva em cada um dos servers que deseja ocultar o aquivo .user.ini.

Outro ponto importante é que os browsers costumam fazer cache das páginas que você visita, então mesmo se você fizer a correção, e reiniciar o nginx devidamente, o seu arquivo ainda vai aparecer como acessível, então meu conselho é fazer os testes com o curl, um simples:

curl https://seusite.com/.user.ini

já vai te dar a resposta que você precisa.

Alterando o limite de upload do WordPress

edite o arquivo /etc/php/7.4/fpm/php.ini alterando os sequintes valores:

upload_max_filesize = 32M
post_max_size = 64M
memory_limit = 128M

edite também o arquivo /etc/nginx/nginx.conf incluindo a seguinte diretriz:

client_max_body_size 32M;

teste a configuração do nginx:

$ sudo nginx -t

dando tudo ok, reinicie os serviços nginx e php:

$ sudo systemctl restart nginx.service

$ sudo systemctl restart php7.4-fpm.service