প্লাগইন ফোল্ডারগুলিতে একটি ফাঁকা index.php ফাইল অন্তর্ভুক্ত করা উচিত?

16

ওয়ার্ডপ্রেস নিজেই, wp-contentফোল্ডারে, একটি খালি পিএইচপি ফাইল অন্তর্ভুক্ত করে যা দেখতে এটির মতো দেখাচ্ছে।

<?php
// Silence is golden.
?>

প্লাগইনগুলিতে লোকেদের ডিরেক্টরিতে থাকা বিষয়বস্তু দেখা বন্ধ করার জন্য কি এই জাতীয় খালি ফাইল অন্তর্ভুক্ত করা উচিত? থিমগুলিতে অতিরিক্ত ফোল্ডারগুলি সম্পর্কে কী - যেমন একটি includesডিরেক্টরি?

plugin-development theme-development

— chrisguitarguy
সূত্র

1

হ্যাঁ, এটি সম্ভবত একটি ভাল ধারণা। ডাব্লুপি Options –Indexesএর বান্ডিল

— এইচটিসেসে

17

না, তাদের করা উচিত নয়। যদি কোনও প্লাগইনে কেবল দুর্বলতা থাকে তবে কেউ তার ডিরেক্টরি কাঠামোটি ভেঙে দেখতে পারে। এই বাগগুলি ঠিক করা উচিত।
অস্পষ্টতার মাধ্যমে সুরক্ষা নিজের জন্য একটি বাগ।

ডিরেক্টরি ব্রাউজিংকে মঞ্জুরি দেওয়া বা নিষেধ করা সাইটের মালিকের পক্ষে।

দ্বিতীয় ইস্যুটি পারফরম্যান্স: ওয়ার্ডপ্রেস প্লাগইন শিরোনামগুলি খুঁজে পেতে প্লাগইনের মূল ডিরেক্টরিতে সমস্ত পিএইচপি ফাইল স্ক্যান করে। এটি আপনাকে একই ডিরেক্টরিতে একাধিক প্লাগইন রাখতে দেয়, যেমন /wp-content/plugins/wpse-examples/।

এর অর্থ হ'ল ওয়ার্ডপ্রেস প্লাগিনগুলি অনুসন্ধান করার সময় সেই ডিরেক্টরিতে অব্যবহৃত পিএইচপি ফাইলগুলি সময় এবং মেমরি নষ্ট করে। একটি ফাইল খুব বেশি ক্ষতি করতে পারে না, তবে কল্পনা করুন এটি একটি সাধারণ অনুশীলন পাচ্ছে। আপনি একটি কাল্পনিক ঠিক করার চেষ্টায় একটি আসল সমস্যা তৈরি করছেন।

— fuxia
সূত্র

2

"ডিরেক্টরি ব্রাউজিংকে অনুমতি দেওয়া বা নিষেধ করা সাইট মালিকদের পক্ষে owner" এটি সম্ভবত মূল বিষয়।

— chrisguitarguy

এবং আমার মূল প্রশ্নটি হ'ল মূল প্লাগইন ফাইলগুলি লিখিত হয় না কেন index.php? এটি সর্বোত্তম কাজ হতে পারে

— টুডো

10

আমি হ্যাঁ বলতে যাচ্ছি। অস্পষ্টতার মাধ্যমে সুরক্ষা কাজ করে যদি আপনি আরও অস্পষ্ট হন তবে আপনার প্রতিবেশীরা :) (রসিকতা করছেন তবে এর কিছুটা সত্য আছে)।

বাস্তবতাটি হ'ল যে বট / স্ক্যানারগুলি এখন প্লাগইন তালিকাগুলি ঠিক ঠিক ওয়ার্ডপ্রেস.অর্গ.কমকে সংকলন করে এবং প্লাগইন ইউআরএল'র সরাসরি, পরিচিত শোষনের জন্য ফিঙ্গারপ্রিন্ট সংস্করণ এবং রেফারেন্সের জন্য তথ্য একটি ডাটাবেসে রাখে w

এর পরিবর্তে কোনটি আপনার কাছে থাকতে চান, একটি বট আপনার ইনস্টল সম্পর্কিত তথ্য সংগ্রহ করতে সক্ষম হচ্ছে না, বা আপনি সুরক্ষিত তা নিশ্চিত করার জন্য এটি প্লাগইন লেখকের কাছে রেখে দেবে। উভয় সম্পর্কে কি।

পুনশ্চ. পাশের নোটে গত বছর ওয়ার্ডপ্রেস.আর.গ. প্লাগইনগুলি থেকে 186 টি শোষণ রিপোর্ট করা হয়েছিল ((* রিপোর্ট করা ..)।

— wyck
সূত্র

1

প্লাগইন উপস্থিত থাকলে এক্সপ্লয়েট স্ক্যানার পরীক্ষা করে না। তারা প্রথম অনুরোধকালে শোষণ চালানোর চেষ্টা করে। একটি খালি index.phpকিছু রক্ষা করবে না, আপনি কেবল সুরক্ষার একটি মিথ্যা বোধ পাবেন।

— ফুসিয়া

তবে তারা উদাহরণস্বরূপ, 2200 প্লাগইনের উপরে ডাব্লুপি-স্ক্যান (একগুলির মধ্যে একটি) ফিঙ্গারপ্রিন্ট দেয় এবং সংস্করণগুলি (ফাইলের আকার, ফাইল সংযোজন ইত্যাদি) সনাক্ত করতে কিছু শালীন ফিঙ্গারপ্রিন্ট ব্যবহার করে।

— উইক

আমি কয়েক ডজন হ্যাক ওয়ার্ডপ্রেস সাইট সাফ করেছি। প্রায় সবসময়ই প্রথম অনুরোধটি ছিল আসল আক্রমণ। এটি কেবল যুক্তিযুক্ত: আপনি যদি প্রথম অনুরোধে দুর্বলতা পরীক্ষা করতে পারেন তবে কেন একটি বিশদ স্ক্যানের সাথে সময় নষ্ট করবেন? এটি দেখতে আপনার 404 টি ট্র্যাক করুন । :)

— ফুসিয়া

1

আমি সম্মত হই, এটি শেষ ব্যবহারকারী পর্যন্ত হওয়া উচিত, লেখকের নয় not তবে আমার মনে হয় না এটির কোনও ব্যথা হয়েছে। আপনি "না" বলেছিলেন বলে আমি কেবল একটি পাল্টা পয়েন্ট যুক্ত করতে চেয়েছিলাম।

— উইক

1

মন্তব্য বিতর্কের কারণে এটিকে গ্রহণযোগ্য হিসাবে চিহ্নিত করেছেন!

— chrisguitarguy

1

যেহেতু ওয়ার্ডপ্রেস কোর এটি করে তা প্লাগইনদের স্যুট অনুসরণ করতে বোধগম্য। যদিও এই সমস্তগুলি বিভিন্ন সার্ভারের পার্শ্ব সেটিংসের সাহায্যে সুরক্ষিত করা যায় তবে এটির একটি ডিফল্ট থাকতে ক্ষতি হয় না (সম্ভবত ওয়ার্ডপ্রেস কোর এটি কেন করে)।

— BFTrick
সূত্র

0

ফুকিয়া যেমন উল্লেখ করেছে, .phpপ্লাগইনগুলির জন্য স্ক্যান করার জন্য ওয়ার্ডপ্রেসের একটি অতিরিক্ত ফাইল থাকার ক্ষেত্রে একটি কার্যকারিতা রয়েছে । একটি index.htmlসম্ভবত একটি ভাল বিকল্প হতে পারে। অবশ্যই, সর্বোত্তম বিকল্পটি হ'ল ওয়েব সার্ভারের মাধ্যমে ডিরেক্টরি ব্রাউজিং নিষিদ্ধ করা।

এবং এছাড়াও, অস্পষ্টতার মাধ্যমে সুরক্ষা কোনও ভাল নয়।

— অ্যালেক্স এইচ
সূত্র