Должны ли папки плагинов включать пустой файл index.php?

16

Сам WordPress в wp-contentпапке содержит пустой PHP-файл, который выглядит следующим образом.

<?php
// Silence is golden.
?>

Должны ли плагины включать в себя такой пустой файл, чтобы люди не могли просматривать содержимое каталога? А как насчет дополнительных папок в темах - как includesкаталог?

plugin-development theme-development

— chrisguitarguy
источник

1

да, это, наверное, хорошая идея. Никогда не понимал, почему WP не имеет Options –Indexesв комплекте htaccess, поэтому эти файлы не

— понадобятся

17

Нет, они не должны. Если плагин имеет уязвимости только потому, что кто-то может увидеть его структуру каталогов, он поврежден. Эти ошибки должны быть исправлены.
Безопасность через неизвестность - это ошибка для себя.

Владелец сайта может разрешить или запретить просмотр каталогов.

Вторая проблема заключается в производительности: WordPress сканирует все файлы PHP в корневой директории плагина, чтобы найти заголовки плагина. Это позволяет вам иметь несколько плагинов в одном каталоге, например /wp-content/plugins/wpse-examples/.

Это также означает, что неиспользуемые PHP-файлы в этом каталоге тратят впустую время и память, когда WordPress ищет плагины. Один файл не принесет большого вреда, но представьте, что это становится обычной практикой. Вы создаете реальную проблему в попытке исправить вымышленное.

— Фуксия
источник

2

«Владелец сайта может разрешить или запретить просмотр каталогов». Это, наверное, ключевой момент.

— chrisguitarguy

и мой главный вопрос: почему не записаны основные файлы плагинов index.php? это может быть оптимальным обходным

— путем

10

Я собираюсь сказать ДА. Безопасность через неизвестность работает, если вы более неясны, чем ваши соседи :) (шучу, но в этом есть доля правды).

Реальность такова, что боты / сканеры теперь компилируют списки плагинов прямо с wordpress.org и сканируют URL-адрес плагина напрямую, считывая отпечатки пальцев для известных эксплойтов и сохраняя информацию в базе данных для справки.

Итак, какой из них вы бы предпочли: бот не может собрать информацию о вашей установке или оставить его на усмотрение автора плагина, чтобы убедиться, что вы в безопасности. Как насчет обоих.

пс. Кроме того, в прошлом году было зарегистрировано 186 эксплойтов из плагинов wordpress.org (* сообщается ...).

— Уик
источник

1

Сканеры эксплойтов не проверяют, существует ли плагин. Они пытаются запустить эксплойт во время первого запроса. Пустое index.phpничего не защитит, вы просто получите ложное чувство безопасности.

— fuxia

Но они делают, например, wp-scan (один из многих), снимающий отпечатки с более чем 2200 плагинов, и использует приличную идентификацию для обнаружения версий (размер файла, добавления файла и т. Д.)

— Wyck

Я очистил десятки взломанных сайтов WordPress. Почти всегда первый запрос был настоящей атакой. Это вполне разумно: зачем тратить время на детальное сканирование, если вы можете проверить уязвимость в первом запросе? Отследите свои 404, чтобы увидеть это. :)

— fuxia

1

Я согласен, это должно быть до конечного пользователя, а не автора. Но я тоже не думаю, что это больно. Я просто хотел добавить контрапункт, так как вы сказали «нет».

— Вик

1

пометил этот как принятый из-за обсуждения комментария!

— chrisguitarguy

1

Поскольку ядро WordPress делает это, для плагинов имеет смысл следовать их примеру. Хотя все это может быть защищено с помощью различных настроек на стороне сервера, это не помешает иметь настройки по умолчанию (вероятно, почему ядро WordPress делает это).

— BFTrick
источник

0

Как указала fuxia, существует недостаток производительности, связанный с наличием дополнительного .phpфайла, который WordPress сканирует на наличие плагинов. index.html, Вероятно , будет лучшим вариантом. Конечно, лучшим вариантом было бы запретить просмотр каталогов через веб-сервер.

А также, безопасность через неизвестность не годится.

— Алекс Н
источник