Impedisci l'accesso o elimina automaticamente readme.html, license.txt, wp-config-sample.php
3 risposta
- voti
-
-
2011-05-15
Non è davveronecessario rimuovere questifile.Èmoltopiùfacilebloccarne l'accesso.Se stai utilizzando URL carini,haigià unfile .htaccess.Usare .htaccessperbloccarei file è sicuroe devi solo aggiungere una direttiva una volta.
Ilblocco deifile vieneeffettuato aggiungendo una direttiva a .htaccessin questomodo:
& lt;filesnomefile.file-extension > ordine consentire,negare negato datutti & lt;/files > Quindi,perbloccare readme.html,fai questo:
& lt;files readme.html > ordine consentire,negare negato datutti & lt;/files >Fai lo stesso conilfile di licenza o qualsiasi altrofile a cui desideriimpedire l'accesso a chiunque.Basta aprire .htaccessin Blocconote oin qualsiasi altroeditor ditesto dibase,aggiungere le direttivee salvare,assicurandosi che l'editor ditestomantengaesattamenteilnome delfile,senza alcun .txt allafine.
-
Questa èin realtà l'opzione che ho scelto.Funzionaperfettamente.
-
1- 2011-05-16
-
Sahas Katta
-
-
** Attenzione **,che la sintassi sopra è valida solofino ad Apache 2.2!Successivamente usa "Require all denied" (sostituendo quelle 2 lineeinterne)per Apache 2.4e superiori.[Maggiori dettagli qui] (https://httpd.apache.org/docs/2.4/upgrading.html#authz)
-
- 2
- 2017-03-07
-
Frank Nocke
-
-
-
-
2015-09-06
Ecco lamia opinione:
RewriteRule (?:readme|license|changelog|-config|-sample)\.(?:php|md|txt|html?) - [R=404,NC,L]- 404 (nonesistente) anziché 403 (vietato)perevitare qualsiasiindizio sull'esistenza.
- anchenelle sottocartelle (adesempiotemi eplug-in,chepotrebbero offrire opportunità di attacco)
- non distinguetramaiuscolee minuscole,flessibileper leestensioni,cattura anche README.html o license.html (sentiti libero di aggiungerei tipici sospetti comei log dellemodifiche| faq| contributi)
Personalmente,bloccherei anche:
RewriteRule \.(?:psd|log|cmd|exe|bat|c?sh)$ - [NC,F]nb:
- '?:' dichiara semplicemente che laparentesinon corrisponde (nessunaimportanza).
- richiede che RewriteEngine sia
on(moltoprobabilmente lo è. sarebbe raro,usare wordpress senza ... (bruttipermalink,ecc ...)). - inserisci prima la sezione
# BEGIN WordPressneltuo .htaccess
-
-
-
2010-12-15
add_action('core_upgrade_preamble','my_function_to_delete_files');Modifica:puoi ancheprovare questi
add_action('upgrader_pre_install','my_function_to_delete_files'); add_action('upgrader_post_install','my_function_to_delete_files');-
Grazie,ho capito lafunzione di scollegamentophpe funziona,ma unproblema.L'hook che haifornito sembraessereeseguito semplicemente visitando la sezione Aggiornamentiin Dashboard.C'è un altro hookper dopo che è avvenuto l'aggiornamento?
-
- 0
- 2010-12-15
-
Sahas Katta
-
-
Dai un'occhiatae tifaccio sapere
-
- 1
- 2010-12-16
-
Atif Mohammed Ameenuddin
-
-
@Sahas @ atif089 Sei riuscito afarlofunzionare?
-
- 0
- 2011-05-12
-
INT
-
-
Invece di cancellare (nel casoin cuitu vogliaeffettivamente leggereil readme!) Puoi usarlonellatuafunzione `chmod ("/path/to/readme.txt ",0640);`
-
- 0
- 2016-10-10
-
Bysander
-
-
Solo una domanda veloce chepotrebbe aiutare unpo 'con la sicurezza.Honotato cheilfile readme.html hailnumero di versioneelencato.Riappare dopo ogni aggiornamento,così come licence.txte wp-config-sample.php.
Esiste unmodo sempliceperfarein modo che WordPress rimuova automaticamente questifile dopo un aggiornamento?
Hogiàbloccato la visualizzazione delnumero di versionenei metatag,feed RSS,atom,ecc.
So che questotipo di sicurezzanon èesattamente così molto utile,ma ho solopensato chepotesseessere unpiccoloinizio.Ho sentito che lepersonepossono semplicemente controllare la versione dijQueryinclusain WP-includese fare un riferimentoincrociato a quale versione di WP è statafornita.