web-dev-qa-db-ja.com

ファイルとディレクトリの権限

CentOSサーバーに最新のWordPress 3.5をインストールしました。 http://example.com/wp-includes/にアクセスしようとしたとき、ディレクトリのリストを受け取りました:(wp-includesのインデックス)。

.htaccessファイルの先頭に次のコードを追加して問題を解決しました。

Options -Indexes
IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti*

私の問題

Webブラウザを使用してwp-includesおよびwp-content内のPHPファイルにアクセスしようとすると(たとえばhttp://example.com/wp-includes/class-smtp.php)、空白の画面が表示されます。 「Permission denied」などと表示されるはずです。私は正しいですか?

どうすればこれを達成できますか?私のウェブサイトが攻撃に対して脆弱かどうか心配です。私はすでに WordPressを強化する 記事を知っています。

これが私のディレクトリとファイルのパーミッションです。

  • wp-admin:755
  • wp-content:755
  • wp-includes:755
  • ファイルに権限があります644
5
Sumit Gupta

wp-includesディレクトリ内のPHPファイルは、直接アクセスしても何もしません。フロントエンドやダッシュボードなど、既存のPHPスクリプトの中でinclude()されるように設計されています。

Options -Indexesファイル内の.htaccessエントリは、index.phpが存在しない場合、ディレクトリ内のファイルのリストを単純に禁止します。ライブサーバーでこれを使用することをお勧めします。 2行目が何をするのか完全にはわかりません。あなたはおそらくそれを削除する必要があります。

特にあなたのサーバーを攻撃している人々を心配しているなら、wp-includesディレクトリへのアクセスを完全に防ぐことができます。これを行うには、次の内容で.htaccessファイルinsidewp-includesフォルダーを作成します。

Deny from all
5
shea

あなたがあなたのWordPressインストールを保護したいならば、私がWordPressをインストールするとき私がいつもすることの一つは私のwp-adminフォルダ(あなたのログインページ)を保護することです。私はwp-adminで.htaccessファイルを作成し、このフォルダへのアクセスを特定のIPだけに許可します。私はここでWordPressのログインページにいくつかの情報があると思います: htaccessリダイレクト

あなたのホストは誰ですか?このサーバーを自分でセットアップしましたか? WordPressをインストールした後は、wp-includesのインデックスを見てはいけません。それは今まで私には起こりませんでした。 :/

0
beacon