wake-up-neo.net

Sollten Plugin-Ordner eine leere index.php-Datei enthalten?

WordPress selbst enthält im Ordner wp-content eine leere PHP -Datei, die so aussieht.

<?php
// Silence is golden.
?>

Sollten Plugins auch eine leere Datei wie diese enthalten, um die Anzeige des Inhalts eines Verzeichnisses zu stoppen? Was ist mit zusätzlichen Ordnern in Themen - wie einem Verzeichnis includes?

14
chrisguitarguy

Ich werde JA sagen. Sicherheit durch Unbekanntheit funktioniert, wenn Sie unklarer sind als Ihre Nachbarn.

Die Realität ist, dass die Bots/Scanner jetzt die Plugin-Listen direkt von wordpress.org kompilieren und die Plugin-URL direkt crawlen. Dabei werden die Versionen per Fingerabdruck auf bekannte Exploits überprüft und die Informationen in einer Datenbank als Referenz gespeichert.

Welches möchten Sie haben? Ein Bot kann keine Informationen zu Ihrer Installation sammeln oder überlässt es dem Autor des Plugins, um sicherzustellen, dass Sie sicher sind. Wie wäre es mit beidem?.

ps. Nebenbei bemerkt gab es im letzten Jahr 186 gemeldete Exploits von wordpress.org-Plugins (* gemeldet ..).

8
Wyck

Nein, das sollten sie nicht. Wenn ein Plugin Sicherheitslücken aufweist, nur weil jemand seine Verzeichnisstruktur sieht, ist es defekt. Diese Fehler sollten behoben sein.
Sicherheit durch Dunkelheit ist ein Fehler für sich.

Es ist Sache des Site-Inhabers, das Durchsuchen von Verzeichnissen zuzulassen oder zu verbieten.

Ein zweites Problem ist die Leistung: WordPress durchsucht alle PHP Dateien im Stammverzeichnis eines Plugins , um Plugin-Header zu finden. Auf diese Weise können Sie mehrere Plugins im selben Verzeichnis haben, z. B. /wp-content/plugins/wpse-examples/.

Es bedeutet auch, dass nicht verwendete PHP Dateien in diesem Verzeichnis Zeit und Speicher verschwenden, wenn WordPress nach Plugins sucht. Eine Datei wird nicht viel Schaden anrichten, aber stellen Sie sich vor, dass dies allgemein üblich ist. Sie erstellen ein echtes Problem, um eine Fiktion zu reparieren.

17
fuxia

Da WordPress Core dies tut, ist es sinnvoll, dass Plugins diesem Beispiel folgen. Obwohl all dies mit verschiedenen serverseitigen Einstellungen geschützt werden kann, schadet es nicht, einen Standard zu haben (wahrscheinlich, warum WordPress Core dies tut).

1
BFTrick

Wie Fuxia betonte, ist es ein Leistungsmangel, eine zusätzliche .php-Datei zu haben, die WordPress nach Plugins scannen kann. Ein index.html wäre wahrscheinlich eine bessere Option. Die beste Option wäre natürlich, das Durchsuchen von Verzeichnissen über den Webserver zu verbieten.

Und auch, Sicherheit durch Dunkelheit ist nicht gut.

0
Alex H