Evitar o acesso ou excluir automaticamente o readme.html, license.txt, wp-config-sample.php

12

Apenas uma pergunta rápida que pode ajudar um pouquinho com segurança. Percebi que o arquivo readme.html tem o número da versão listado. Ele reaparece após cada atualização, assim como o licence.txt e o wp-config-sample.php.

Existe uma maneira fácil de remover o WordPress automaticamente após a atualização?

Eu já bloqueei o número da versão nas meta tags, rss feeds, atom, etc.

Eu sei que esse tipo de segurança não é exatamente tão muito útil, mas achei que seria um começo minúsculo. Ouvi dizer que as pessoas podem simplesmente verificar a versão do jQuery que está incluída no WP-includes e a referência cruzada de qual versão do WP foi enviada.

    
por Sahas Katta 15.12.2010 / 10:53

3 respostas

19

Você realmente não precisa remover esses arquivos. É muito mais fácil bloquear o acesso a eles. Se você está usando URLs bonitas, você já possui um arquivo .htaccess. Usar o .htaccess para bloquear os arquivos é seguro e você só precisa adicionar uma diretiva uma vez.

O bloqueio de arquivos é feito adicionando uma diretiva ao .htaccess como este:

    <files filename.file-extension>
         order allow,deny
         deny from all
    </files>

Então, para bloquear o readme.html, faça isso:

    <files readme.html>
         order allow,deny
         deny from all
    </files>

Faça o mesmo com o arquivo de licença ou qualquer outro arquivo que você queira impedir que alguém acesse. Basta abrir o arquivo .htaccess no Bloco de Notas ou em qualquer outro editor de texto básico, adicionar as diretivas e salvar, certificando-se de que o editor de texto mantenha o nome do arquivo exatamente - sem qualquer .txt no final.

    
por Elpie 15.05.2011 / 14:22
5

Aqui está minha opinião:

RewriteRule (?:readme|license|changelog|-config|-sample)\.(?:php|md|txt|html?) - [R=404,NC,L]
  • 404 (não existente) em vez de 403 (proibido) para evitar qualquer pista sobre a existência.
  • também em subpastas (por exemplo, temas e plug-ins, que podem oferecer oportunidades de ataque)
  • sem distinção entre maiúsculas e minúsculas, com extensão flexível, também captura README.html ou license.html (sinta-se à vontade para adicionar suspeitos típicos como changelogs | faq | contribute)

Pessoalmente, eu também bloquearia:

RewriteRule \.(?:psd|log|cmd|exe|bat|c?sh)$ - [NC,F]

nb:

  • '?:' apenas declara que o colchete não é compatível (sem importância).
  • requer que o RewriteEngine seja on (é mais provável que seja. seria raro usar o wordpress sem ... (permalinks feios, etc ...)).
  • insira antes da seção # BEGIN WordPress no seu .htaccess
por Frank Nocke 06.09.2015 / 08:44
3
add_action('core_upgrade_preamble','my_function_to_delete_files');

Editar: você também pode experimentar estes

add_action('upgrader_pre_install','my_function_to_delete_files');
add_action('upgrader_post_install','my_function_to_delete_files');
    
por Atif Mohammed Ameenuddin 15.12.2010 / 11:37