क्या प्लगइन फोल्डर में ब्लैंक इंडेक्स.php फाइल शामिल है?

16

wp-contentफ़ोल्डर में ही वर्डप्रेस, एक खाली PHP फ़ाइल शामिल है जो इस तरह दिखती है।

<?php
// Silence is golden.
?>

क्या प्लगइन्स में एक खाली फ़ाइल शामिल होनी चाहिए और साथ ही लोगों को निर्देशिका की सामग्री को देखने से रोकने के लिए? एक includesनिर्देशिका की तरह - विषयों में अतिरिक्त फ़ोल्डर्स के बारे में क्या ?

plugin-development theme-development

— chrisguitarguy
स्रोत

1

हाँ, यह शायद एक अच्छा विचार है। कभी समझ में नहीं आया कि WP Options –Indexesबंडल बंडल में WP क्यों नहीं है , इसलिए ये फाइलें आवश्यक नहीं होंगी ...

— onetrickpony

17

नहीं, उन्हें नहीं करना चाहिए। यदि किसी प्लग इन में कमजोरियाँ हैं, क्योंकि कोई व्यक्ति इसकी निर्देशिका संरचना को देख सकता है, तो यह टूट गया है। इन बगों को ठीक किया जाना चाहिए।
अस्पष्टता के माध्यम से सुरक्षा अपने लिए एक बग है।

यह अनुमति देने या निर्देशिका ब्राउज़ करने से मना करने के लिए साइट स्वामी पर निर्भर है।

एक दूसरा मुद्दा प्रदर्शन है: प्लगइन प्लगइन को खोजने के लिए वर्डप्रेस एक प्लगइन की निर्देशिका में सभी PHP फ़ाइलों को स्कैन करता है । यह आपको एक ही निर्देशिका के अंतर्गत कई प्लगइन्स की अनुमति देता है, जैसे /wp-content/plugins/wpse-examples/।

इसका यह भी अर्थ है कि उस निर्देशिका में अप्रयुक्त PHP फाइलें उस समय और मेमोरी को बर्बाद कर रही हैं जब वर्डप्रेस प्लगइन्स को खोज रहा है। एक फ़ाइल बहुत नुकसान नहीं करेगी, लेकिन कल्पना करें कि यह एक आम अभ्यास है। आप एक काल्पनिक को ठीक करने के प्रयास में एक वास्तविक समस्या पैदा कर रहे हैं।

— फक्सिया
स्रोत

2

"साइट मालिक को निर्देशिका की अनुमति देने या ब्राउज़ करने से मना करना।" शायद यही महत्वपूर्ण बिंदु है।

— क्रिसगुइटारगुई

और मेरा मुख्य सवाल यह है कि मुख्य प्लगइन फाइलों में क्यों नहीं लिखा जाता है index.php? वह इष्टतम वर्कअराउंड हो सकता है

— T.Todua

10

मैं हाँ कहने जा रहा हूँ। अस्पष्टता के माध्यम से सुरक्षा काम करती है यदि आप अधिक अस्पष्ट हैं तो आपके पड़ोसी :) (मजाक कर रहे हैं लेकिन इसके लिए कुछ सच्चाई है)।

वास्तविकता यह है कि बॉट्स / स्कैनर अब प्लगइन सूचियों को संकलित करते हैं wordpress.org को राइट ऑफ करते हैं और प्लगइन को यूआरएल के सीधे, ज्ञात कारनामों के लिए फ़िंगरप्रिंटिंग संस्करणों को क्रॉल करते हैं और जानकारी को संदर्भ के लिए डेटाबेस में रखते हैं।

तो आपके पास कौन सा नहीं बल्कि एक बॉट आपके इंस्टॉल पर जानकारी इकट्ठा करने में सक्षम नहीं होगा, या यह सुनिश्चित करने के लिए कि इसे सुरक्षित करने के लिए प्लगइन लेखक पर छोड़ दिया जाए। कैसे दोनों के बारे में?

ps। साइड नोट पर पिछले वर्ष wordpress.org प्लगइन्स से 186 रिपोर्ट किए गए कारनामे थे। (* रिपोर्ट ..)।

— Wyck
स्रोत

1

यदि प्लगइन मौजूद है तो एक्सप्लॉइट स्कैनर परीक्षण नहीं करता है। वे पहले अनुरोध के दौरान शोषण को चलाने की कोशिश करते हैं। एक खाली index.phpकुछ भी रक्षा नहीं करेगा, आपको बस सुरक्षा की झूठी भावना मिलेगी।

— FUXIA

लेकिन वे करते हैं, उदाहरण के लिए 2200 से अधिक प्लगइन्स में wp-scan (कई में से एक) फिंगरप्रिंट, और संस्करणों का पता लगाने के लिए कुछ सभ्य फिंगरप्रिंटिंग का उपयोग करता है (फ़ाइल का आकार, फ़ाइल परिवर्धन, आदि)।

— व्यैक

मैंने दर्जनों हैक की गई WordPress साइट्स को साफ किया है। लगभग हमेशा पहला अनुरोध एक वास्तविक हमला था। यह उचित है: यदि आप पहले अनुरोध में भेद्यता का परीक्षण कर सकते हैं तो एक विस्तृत स्कैन के साथ समय क्यों बर्बाद करना? इसे देखने के लिए अपने 404 ट्रैक करें । :)

— FUXIA

1

मैं सहमत हूं, यह अंत उपयोगकर्ता तक होना चाहिए न कि लेखक के लिए। लेकिन मुझे नहीं लगता कि इसमें दर्द होता है। मैं सिर्फ एक काउंटर-बिंदु जोड़ना चाहता था क्योंकि आपने "नहीं" कहा था।

— व्येक

1

टिप्पणी बहस के कारण इसे स्वीकार किया गया!

— क्रिसगिटेरिटगुई

1

चूंकि वर्डप्रेस कोर ऐसा करता है इसलिए प्लगइन्स के लिए सूट का पालन करना समझ में आता है। हालांकि यह सब विभिन्न सर्वर साइड सेटिंग्स के साथ संरक्षित किया जा सकता है, यह डिफ़ॉल्ट रूप से चोट नहीं करता है (शायद वर्डप्रेस कोर ऐसा क्यों करता है)।

— BFTrick
स्रोत

0

जैसा कि fuxia ने बताया, एक अतिरिक्त .phpफ़ाइल होने का प्रदर्शन दोष है जो वर्डप्रेस को प्लगइन्स के लिए स्कैन करने के लिए है। एक index.htmlशायद एक बेहतर विकल्प होगा। बेशक, सबसे अच्छा विकल्प वेब सर्वर के माध्यम से निर्देशिका ब्राउज़िंग को निषिद्ध करना होगा।

और, अस्पष्टता के माध्यम से सुरक्षा भी अच्छी नहीं है।

— एलेक्स एच
स्रोत