阻止访问或自动删除Readme.html、许可.txt、wp-config-sample.php

时间:2010-12-15 作者:Sahas Katta

这只是一个可能对安全性有点帮助的快速问题。我注意到自述文件。html文件列出了版本号。它会在每次升级后重新出现,许可证也是如此。txt和wp配置示例。php。

有没有一种简单的方法可以让WordPress在升级后自动删除这些文件?

我已经阻止了meta标签、rss提要、atom等中显示版本号。

我知道这种类型的安全性并没有多大帮助,但我只是觉得这可能只是一个小小的开始。我听说人们可以简单地检查WP includes中包含的jQuery版本,并交叉引用WP附带的版本。

3 个回复
最合适的回答,由SO网友:Elpie 整理而成

您实际上不需要删除这些文件。阻止访问它们要容易得多。如果你使用的是漂亮的URL,那么你已经有了。htaccess文件。使用。htaccess阻止文件是安全的,您只需添加一次指令。

通过向添加指令来阻止文件。htaccess如下:

    <files filename.file-extension>
         order allow,deny
         deny from all
    </files>
所以,阻止自述。html您可以执行以下操作:

    <files readme.html>
         order allow,deny
         deny from all
    </files>
对许可证文件或任何其他要阻止任何人访问的文件执行相同的操作。只要打开。htaccess在记事本或任何其他基本文本编辑器中,添加指令并保存,确保文本编辑器保持文件名准确无误。txt在末尾。

SO网友:Frank Nocke

以下是我的观点:

RewriteRule (?:readme|license|changelog|-config|-sample)\\.(?:php|md|txt|html?) - [R=404,NC,L]
404(不存在)而不是403(禁止),以避免任何关于存在的线索
  • 也在子文件夹中(即主题和插件,可能提供攻击机会)
  • 不区分大小写,扩展灵活,也可以捕获自述。html或许可证。html(请随意添加变更日志等典型可疑内容|常见问题|贡献)
    • 我个人也会阻止:

    RewriteRule \\.(?:psd|log|cmd|exe|bat|c?sh)$ - [NC,F]
    注意:

    “?:”只声明括号不匹配(不重要)on (很有可能是这样。如果使用wordpress时没有…(丑陋的永久链接等…)是很少见的)# BEGIN WordPress 中的节。htaccess

    SO网友:Atif

    add_action(\'core_upgrade_preamble\',\'my_function_to_delete_files\');
    编辑:您也可以尝试这些

    add_action(\'upgrader_pre_install\',\'my_function_to_delete_files\');
add_action(\'upgrader_post_install\',\'my_function_to_delete_files\');

    结束
    标签: security   wp-config   小码农  

    相关推荐

    Security and .htaccess

    大约一个月前,我在一个与爱好相关的托管服务器上创建了一个WordPress博客。所以,我目前还不熟悉这一点。由于我担心安全性,我做的一件事就是安装插件WP安全扫描。根据插件结果,我的网站会被检查出来,但我在结果中看到的是一个红旗:文件。wp admin中不存在htaccess/(我在那里ssh了,它不存在)好的,所以我在这个问题上做了大量的搜索,找到了太多的信息。htaccess。我在WordPress上经历了强化WordPress。org网站等,也遇到了这篇文章:http://digwp.com/201