Попередження доступу або автоматичне видалення readme.html, licence.txt, wp-config-sample.php

Лише швидке запитання, яке може допомогти татові з безпекою. Я помітив, що у файлі readme.html вказаний номер версії. Він з'являється знову після кожного оновлення, а також робимо licence.txt та wp-config-sample.php.

Чи є простий спосіб змусити WordPress автоматично видалити ці файли після оновлення?

Я вже блокую номер версії, щоб він не відображався у метатегах, RSS-каналах, атомі тощо.

Я знаю , що цей тип безпеки не точно , що дуже корисно, але просто подумав , що це може бути крихітне початком. Я чув, що люди можуть просто перевірити версію jQuery, яка включена до WP-включає, та перехресну посилання, яка версія WP поставляється.

Вам не потрібно видаляти ці файли. Набагато простіше просто заблокувати доступ до них. Якщо ви використовуєте гарні URL-адреси, у вас вже є файл .htaccess. Використання .htaccess для блокування файлів захищено, і вам потрібно лише один раз додати директиву.

Блокування файлів здійснюється за допомогою додавання директиви до .htaccess таким чином:

    <files filename.file-extension>
         order allow,deny
         deny from all
    </files>

Отже, щоб заблокувати readme.html, зробіть це:

    <files readme.html>
         order allow,deny
         deny from all
    </files>

Зробіть те ж саме з файлом ліцензії або будь-яким іншим файлом, який ви хочете не допустити до доступу будь-кого. Просто відкрийте .htaccess у Блокноті чи будь-якому іншому базовому текстовому редакторі, додайте директиви та збережіть, переконуючись, що текстовий редактор точно зберігає ім'я файлу - без будь-якого .txt в кінці.

Ось моя думка:

RewriteRule (?:readme|license|changelog|-config|-sample)\.(?:php|md|txt|html?) - [R=404,NC,L]

• 404 (не існує), а не 403 (заборонено), щоб уникнути будь-якої підказки про існування.
• також у підпапках (тобто теми та плагіни, які можуть запропонувати атаку)
• нечутливі до регістру, гнучкі до розширення, також ловить README.html або License.html (сміливо додайте типових підозрюваних, таких як журнали змін | faq | сприяючи)

Особисто я б також заблокував:

RewriteRule \.(?:psd|log|cmd|exe|bat|c?sh)$ - [NC,F]

nb:

• '?:' просто оголошує дужку невідповідною (не має значення).
• вимагає RewriteEngine on(це, швидше за все, було б рідко, використовувати Wordpress без ... (потворні постійні посилання тощо)).
• вставити перед тим в # BEGIN WordPressрозділі в вашому .htaccess

add_action('core_upgrade_preamble','my_function_to_delete_files');

Редагувати: ви також можете спробувати це

add_action('upgrader_pre_install','my_function_to_delete_files');
add_action('upgrader_post_install','my_function_to_delete_files');