wp includes目录中的PHP文件不应该从外部访问，它们应该只被wordpress代码包含。因此，一个简单的解决方法就是使用。htaccess规则阻止对*的访问。wp includes目录下的php文件

这实际上是禁用php错误/警告日志记录的唯一选项。有两种选择，另一种不太好：

php。ini-在大多数托管中，您可以更改php。ini（即使在共享主机中）-。直接在php文件中访问htaccess（不推荐）

http://phphtml.info/how-to-fix-wordpress-internal-pathfull-path-disclosurefpd-issue/

Display_errors 应在生产网站上禁用

<?php
/**
 * Deprecated. Use rss.php instead.
 *
 * @package WordPress
 */
_deprecated_file( basename(__FILE__), \'2.1.0\', WPINC . \'/rss.php\' );
require_once( ABSPATH . WPINC . \'/rss.php\' );

解决方案是禁用display_errors 在服务器级别。如果您的PHP在mod\\u apache下运行，可以通过将这一行添加到main中来实现。htaccess文件：

php_flag display_errors off

此外，WordPress意识到：

https://make.wordpress.org/core/handbook/testing/reporting-security-vulnerabilities/#why-are-there-path-disclosures-when-directly-loading-certain-files

从理论上讲，我要告诉你的是危险的，如果你用“恰当的Wordpress方式”做事，可能就不应该这样做。

实际上，这适用于我们的生产环境。

文件rss-functions.php 已弃用，并重定向到rss.php.

文件rss.php 自v3以来已被弃用。0.0，内部评论建议您改用SimplePie。

所以文件rss-functions.php 可以安全删除as long as 您没有旧的遗留安装，如果没有依赖于此文件的插件。

或者，注释掉该文件中的第8行。

从安全的角度来看，您还应该明确执行上面@MarkKaplen的建议，因为浏览器不会直接访问此文件。

顺便说一句，我同意你的观点，泄露完整路径是一种安全风险；出于这个原因，我们将WEBROOT排除在自定义路径之外。