CentOSサーバーに最新のWordPress 3.5をインストールしました。 http://example.com/wp-includes/
にアクセスしようとしたとき、ディレクトリのリストを受け取りました:(wp-includesのインデックス)。
.htaccess
ファイルの先頭に次のコードを追加して問題を解決しました。
Options -Indexes
IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti*
Webブラウザを使用してwp-includes
およびwp-content
内のPHPファイルにアクセスしようとすると(たとえばhttp://example.com/wp-includes/class-smtp.php
)、空白の画面が表示されます。 「Permission denied」などと表示されるはずです。私は正しいですか?
どうすればこれを達成できますか?私のウェブサイトが攻撃に対して脆弱かどうか心配です。私はすでに WordPressを強化する 記事を知っています。
これが私のディレクトリとファイルのパーミッションです。
wp-admin
:755wp-content
:755wp-includes
:755wp-includes
ディレクトリ内のPHPファイルは、直接アクセスしても何もしません。フロントエンドやダッシュボードなど、既存のPHPスクリプトの中でinclude()
されるように設計されています。
Options -Indexes
ファイル内の.htaccess
エントリは、index.php
が存在しない場合、ディレクトリ内のファイルのリストを単純に禁止します。ライブサーバーでこれを使用することをお勧めします。 2行目が何をするのか完全にはわかりません。あなたはおそらくそれを削除する必要があります。
特にあなたのサーバーを攻撃している人々を心配しているなら、wp-includes
ディレクトリへのアクセスを完全に防ぐことができます。これを行うには、次の内容で.htaccess
ファイルinsidewp-includes
フォルダーを作成します。
Deny from all
あなたがあなたのWordPressインストールを保護したいならば、私がWordPressをインストールするとき私がいつもすることの一つは私のwp-adminフォルダ(あなたのログインページ)を保護することです。私はwp-adminで.htaccessファイルを作成し、このフォルダへのアクセスを特定のIPだけに許可します。私はここでWordPressのログインページにいくつかの情報があると思います: htaccessリダイレクト
あなたのホストは誰ですか?このサーバーを自分でセットアップしましたか? WordPressをインストールした後は、wp-includesのインデックスを見てはいけません。それは今まで私には起こりませんでした。 :/