ちょっとしたセキュリティ上の問題に役立つかもしれないちょっとした質問です。 readme.htmlファイルにバージョン番号が記載されていることに気付きました。それは各アップグレードの後に再び現れます、そして同様にlicence.txt、そしてwp-config-sample.phpをします。
アップグレード後にWordPressがこれらのファイルを自動的に削除する簡単な方法はありますか?
バージョン番号がメタタグ、RSSフィード、アトムなどに表示されないようにすでにブロックしています。
私はこのタイプのセキュリティが that それほど役に立つわけではないことを知っていますが、それはほんの小さなスタートかもしれないと思っただけです。私は人々がWP-includesに含まれているjQueryのバージョンを単にチェックしてそれを出荷したWPのバージョンを相互参照できることを聞いた。
あなたは本当にこれらのファイルを削除する必要はありません。単にそれらへのアクセスをブロックする方がはるかに簡単です。あなたがかわいいURLを使っているなら、あなたはすでに.htaccessファイルを持っています。ファイルをブロックするために.htaccessを使用することは安全であり、あなたは一度だけディレクティブを追加する必要があります。
ファイルをブロックするには、次のように.htaccessにディレクティブを追加します。
<files filename.file-extension>
order allow,deny
deny from all
</files>
したがって、readme.htmlをブロックするには、次のようにします。
<files readme.html>
order allow,deny
deny from all
</files>
ライセンスファイルまたは他の人がアクセスできないようにしたい他のファイルについても同じことを行います。メモ帳やその他の基本的なテキストエディタで.htaccessを開き、ディレクティブを追加して保存します。テキストエディタはファイル名を正確に保持します。
これが私の考えです:
RewriteRule (?:readme|license|changelog|-config|-sample)\.(?:php|md|txt|html?) - [R=404,NC,L]
個人的には、私もブロックします:
RewriteRule \.(?:psd|log|cmd|exe|bat|c?sh)$ - [NC,F]
nb:
on
であることを必要とします(たぶん、...(醜いパーマリンクなど)なしでwordpressを使うことは稀です)。# BEGIN WordPress
セクションにbeforeを挿入add_action('core_upgrade_preamble','my_function_to_delete_files');
編集:あなたもこれらを試すことができます
add_action('upgrader_pre_install','my_function_to_delete_files');
add_action('upgrader_post_install','my_function_to_delete_files');