Impedire l'accesso o auto-eliminazione readme.html, license.txt, wp-config-sample.php
https://wordpress.stackexchange.com/questions/5400
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Solo una domanda veloce che potrebbe aiutare un po 'po' con la sicurezza. Ho notato che il file readme.html ha il numero di versione elencato. E riappare dopo ogni aggiornamento e così fanno la licence.txt e wp-config-sample.php.
C'è un modo semplice per avere WordPress auto rimuovere questi file dopo un aggiornamento?
Ho già bloccare il numero di versione di mostrare nei meta tag, feed rss, atom, ecc.
so che questo tipo di sicurezza non è esattamente che molto utile, ma solo pensato che potrebbe essere un piccolo inizio. Ho sentito che la gente può semplicemente controllare la versione di jQuery che è incluso in WP-include e riferimenti incrociati quale versione di WP spedito esso.
Soluzione
Non si ha realmente bisogno per rimuovere questi file. E 'molto più facile da solo bloccare l'accesso ad essi. Se si utilizza abbastanza URL si dispone già di un file .htaccess. Utilizzando .htaccess per bloccare i file sono al sicuro e hai solo aggiungere una direttiva volta.
Blocco file viene fatta con l'aggiunta di una direttiva per .htaccess in questo modo:
<files filename.file-extension>
order allow,deny
deny from all
</files>
Quindi, per bloccare readme.html si esegue questa operazione:
<files readme.html>
order allow,deny
deny from all
</files>
Fate lo stesso con il file di licenza o qualsiasi altro file che si desidera impedire a chiunque di accedere. Proprio .htaccess aperto in Blocco note o qualsiasi altro editor di testo di base, aggiungere le direttive e salvare, facendo in modo che l'editor di testo mantiene il nome del file esattamente - senza alcun .txt alla fine.
Altri suggerimenti
Ecco il mio prendere:
RewriteRule (?:readme|license|changelog|-config|-sample)\.(?:php|md|txt|html?) - [R=404,NC,L]
- 404 (non esistenti) anziché 403 (vietato) per evitare qualsiasi indizio dell'esistenza.
- anche nelle sottocartelle (cioè temi e plugin, che potrebbero offrire possibilità di segnare provengono)
- case-insensitive, estensione flessibile, cattura anche README.html, o license.html (sentitevi liberi di aggiungere i sospetti tipici come changelog | faq | contribuendo)
Personalmente, vorrei anche bloccare:
RewriteRule \.(?:psd|log|cmd|exe|bat|c?sh)$ - [NC,F]
NB:
- '?:' solo dichiara la staffa di essere non corrispondenti (nessuna importanza).
- richiede RewriteEngine essere
on(è più probabile è. Sarebbe raro, ad uso wordpress senza ... (brutte permalink, ecc ...)). - Inserisci prima la sezione
# BEGIN WordPressnel vostro .htaccess
add_action('core_upgrade_preamble','my_function_to_delete_files');
Edit: è anche possibile provare questi
add_action('upgrader_pre_install','my_function_to_delete_files');
add_action('upgrader_post_install','my_function_to_delete_files');
