Варто обмежити прямий доступ до файлів тем?

Час від часу я стикався з наступним фрагментом у темах:

if ( ! defined('ABSPATH')) exit('restricted access');

Це на початку деяких (усіх?) PHP-файлів у темі, і це повинно перешкоджати прямому доступу до файлу з нечесних джерел.

Я бачу, що це не входить у двадцять десять чи одинадцять, і я ніколи не бачив його рекомендувати в офіційній документації WordPress. Мені це здається гарною ідеєю, але я також не знаю достатньо про безпеку, щоб судити про це і не можу знайти багато з Google.

Це щось, що я маю мати у своїх спеціальних темах? Якщо так, чи має бути він у всіх PHP-файлах чи лише деяких?

Зазвичай вам це не потрібно. Але ... є принаймні один крайній випадок:

• Якщо файл теми - це частина шаблону ,
• і він використовує глобальні змінні з контексту виклику (батьківський файл),
• і register_globals є on,
• і це просто використання цих змінних без будь-якої перевірки безпеки ...

... зловмисник може назвати цей файл, встановити відсутні змінні GETабо POSTі зробити файл теми друку таких проблем . І тоді це проблема безпеки.

Отже ... найкращий варіант - це не контекстна перевірка, як ця у вашому прикладі, а хороший код: уникайте глобальних змінних, перевіряйте їхній вміст перед тим, як роздрукувати його.

У деяких випадках я додаю перевірку контексту, коли думаю, що хтось інший буде використовувати мій код і змінити його, не маючи на увазі безпеки. Це не боляче.