Предотвратить доступ или Auto-Delete readme.html, license.txt, wp-config-sampe.php

Question

Просто быстрый вопрос, который может немного помочь в безопасности. Я заметил, что файл readme.html имеет список версии. Он вновь появляется после каждого обновления, как и Licence.txt, и WP-config-sample.php.

Есть ли простой способ сделать WordPress Auto удалить эти файлы после обновления?

Я уже блокирую номер версии с показа в метатетах, RSS -каналах, атом и т. Д.

Я знаю, что этот тип безопасности не совсем что Гораздо полезно, но просто подумал, что это может быть крошечное начало. Я слышал, что люди могут просто проверить версию jQuery, которая включена в WP-включения и перекрестные ссылки, какая версия WP отправила его.

Answer 1

Вам не нужно удалять эти файлы. Гораздо проще просто блокировать доступ к ним. Если вы используете красивые URL -адреса, у вас уже есть файл .htaccess. Использование .htaccess для блокировки файлов безопасно, и вам нужно добавить директиву только один раз.

Блокирующие файлы выполняются путем добавления директивы в .htaccess, как это:

    <files filename.file-extension>
         order allow,deny
         deny from all
    </files>

Итак, чтобы заблокировать readme.html, вы делаете это:

    <files readme.html>
         order allow,deny
         deny from all
    </files>

Сделайте то же самое с файлом лицензии или любым другим файлом, который вы хотите предотвратить доступ. Просто откройте .htaccess в блокноте или в любом другом основном текстовом редакторе, добавьте директивы и сохраните, убедившись, что текстовый редактор сохраняет имя файла точно - без какого -либо .txt в конце.

Answer 2

Вот мой взгляд:

RewriteRule (?:readme|license|changelog|-config|-sample)\.(?:php|md|txt|html?) - [R=404,NC,L]

• 404 (не существует), а не 403 (запрещено), чтобы избежать какого -либо подсказки о существовании.
• Также в подпапке (т.е. темы и плагины, которые могут предложить возможности атаки)
• Нечувствительный к случаю, сгибающим, также улавливает readme.html, или лицензию. Html (не стесняйтесь добавлять типичные подозреваемые, такие как Changelogs | FAQ | Appling)

Лично я бы также блокировал:

RewriteRule \.(?:psd|log|cmd|exe|bat|c?sh)$ - [NC,F]

NB:

• '?:' Просто объявляет кронштейн не совпадать (без важности).
• требует перезаписи, чтобы быть on (Скорее всего, это было бы редко, использовать WordPress без ... (уродливые постоянные ссылки и т. Д.)).
• вставлять до а # BEGIN WordPress раздел в вашем .htaccess

Answer 3

add_action('core_upgrade_preamble','my_function_to_delete_files');

РЕДАКТИРОВАТЬ: Вы также можете попробовать это

add_action('upgrader_pre_install','my_function_to_delete_files');
add_action('upgrader_post_install','my_function_to_delete_files');