Предотвратить доступ или Auto-Delete readme.html, license.txt, wp-config-sampe.php
Вопрос
Просто быстрый вопрос, который может немного помочь в безопасности. Я заметил, что файл readme.html имеет список версии. Он вновь появляется после каждого обновления, как и Licence.txt, и WP-config-sample.php.
Есть ли простой способ сделать WordPress Auto удалить эти файлы после обновления?
Я уже блокирую номер версии с показа в метатетах, RSS -каналах, атом и т. Д.
Я знаю, что этот тип безопасности не совсем что Гораздо полезно, но просто подумал, что это может быть крошечное начало. Я слышал, что люди могут просто проверить версию jQuery, которая включена в WP-включения и перекрестные ссылки, какая версия WP отправила его.
Решение
Вам не нужно удалять эти файлы. Гораздо проще просто блокировать доступ к ним. Если вы используете красивые URL -адреса, у вас уже есть файл .htaccess. Использование .htaccess для блокировки файлов безопасно, и вам нужно добавить директиву только один раз.
Блокирующие файлы выполняются путем добавления директивы в .htaccess, как это:
<files filename.file-extension>
order allow,deny
deny from all
</files>
Итак, чтобы заблокировать readme.html, вы делаете это:
<files readme.html>
order allow,deny
deny from all
</files>
Сделайте то же самое с файлом лицензии или любым другим файлом, который вы хотите предотвратить доступ. Просто откройте .htaccess в блокноте или в любом другом основном текстовом редакторе, добавьте директивы и сохраните, убедившись, что текстовый редактор сохраняет имя файла точно - без какого -либо .txt в конце.
Другие советы
Вот мой взгляд:
RewriteRule (?:readme|license|changelog|-config|-sample)\.(?:php|md|txt|html?) - [R=404,NC,L]
- 404 (не существует), а не 403 (запрещено), чтобы избежать какого -либо подсказки о существовании.
- Также в подпапке (т.е. темы и плагины, которые могут предложить возможности атаки)
- Нечувствительный к случаю, сгибающим, также улавливает readme.html, или лицензию. Html (не стесняйтесь добавлять типичные подозреваемые, такие как Changelogs | FAQ | Appling)
Лично я бы также блокировал:
RewriteRule \.(?:psd|log|cmd|exe|bat|c?sh)$ - [NC,F]
NB:
- '?:' Просто объявляет кронштейн не совпадать (без важности).
- требует перезаписи, чтобы быть
on
(Скорее всего, это было бы редко, использовать WordPress без ... (уродливые постоянные ссылки и т. Д.)). - вставлять до а
# BEGIN WordPress
раздел в вашем .htaccess
add_action('core_upgrade_preamble','my_function_to_delete_files');
РЕДАКТИРОВАТЬ: Вы также можете попробовать это
add_action('upgrader_pre_install','my_function_to_delete_files');
add_action('upgrader_post_install','my_function_to_delete_files');