অ্যাক্সেস বা অটো মোছা প্রতিরোধ করুন readme.html, লাইসেন্স.txt, wp-config-salt.php

13

কেবলমাত্র একটি দ্রুত প্রশ্ন যা সুরক্ষায় কিছুটা সহায়তা করতে পারে। আমি লক্ষ্য করেছি যে readme.html ফাইলটির সংস্করণ নম্বর তালিকাভুক্ত রয়েছে। এটি প্রতিটি আপগ্রেডের পরে পুনরায় প্রদর্শিত হয় এবং তাই লাইসেন্স.txt এবং ডাব্লুপি-কনফিগারেশন-নমুনা.এফপি করে।

কোনও আপগ্রেডের পরে ওয়ার্ডপ্রেস স্বয়ংক্রিয়ভাবে এই ফাইলগুলি সরানোর কী সহজ উপায় আছে?

আমি ইতিমধ্যে মেটা ট্যাগ, আরএসএস ফিডস, পরমাণু ইত্যাদিতে সংস্করণ নম্বরটি ব্লক করে দিয়েছি

আমি জানি নিরাপত্তা এই ধরনের ঠিক নয় যে অনেক সহায়ক কিন্তু শুধু এটা একটি অতি ক্ষুদ্র শুরু হতে পারে চিন্তা। আমি শুনেছি যে লোকেরা কেবল ডাব্লুপি-অন্তর্ভুক্ত থাকা জিকুয়েরির সংস্করণটি পরীক্ষা করতে পারে এবং ডাব্লুপি-র কোন সংস্করণটি এটি প্রেরণ করেছে তা ক্রস রেফারেন্সে দেখতে পারেন।

security  wp-config 
সাহস কট্টা
সূত্র

উত্তর:

19

আপনার এই ফাইলগুলি সরানোর দরকার নেই। এগুলিতে কেবল অ্যাক্সেস আটকে রাখা আরও সহজ। আপনি যদি সুন্দর URL টি ব্যবহার করেন তবে আপনার কাছে ইতিমধ্যে একটি htaccess ফাইল রয়েছে cess ফাইলগুলি অবরুদ্ধ করতে .htaccess ব্যবহার করা সুরক্ষিত এবং আপনাকে কেবল একবার নির্দেশিকা যুক্ত করতে হবে।

ফাইলগুলি অবরুদ্ধ করা এইভাবে .htaccess এ একটি নির্দেশ যুক্ত করে করা হয়:

    <files filename.file-extension>
         order allow,deny
         deny from all
    </files>

সুতরাং, readme.html ব্লক করতে আপনি এটি করেন: 

    <files readme.html>
         order allow,deny
         deny from all
    </files>

লাইসেন্স ফাইল বা আপনি যে কাউকে অ্যাক্সেস থেকে আটকাতে চান অন্য যে কোনও ফাইলের সাথে এটি করুন। নোটপ্যাড বা অন্য কোনও বেসিক পাঠ্য সম্পাদকটিতে .htaccess কেবল খুলুন, নির্দেশাবলী যুক্ত করুন এবং সংরক্ষণ করুন, নিশ্চিত করুন যে পাঠ্য সম্পাদকটি ফাইলের নামটি ঠিক রাখে - শেষে কোনও টেক্সট ছাড়াই।

Elpie
সূত্র
1
এটি আসলে বিকল্পটি আমি শেষ করেই শেষ করেছি। এটি পুরোপুরি কাজ করে।
সাহস কত্ত
1
সাবধান , উপরের সিনট্যাক্সটি কেবল অ্যাপাচি ২.২ অবধি বৈধ! এরপরে Require all deniedঅ্যাপাচি ২.৪ এবং তারপরের জন্য (সেই অভ্যন্তরীণ 2 টি লাইন প্রতিস্থাপন করে) ব্যবহার করুন। আরও বিশদ এখানে
ফ্রাঙ্ক নকে
5

এখানে আমার গ্রহণ:

RewriteRule (?:readme|license|changelog|-config|-sample)\.(?:php|md|txt|html?) - [R=404,NC,L]
  • অস্তিত্ব সম্পর্কে কোনও ইঙ্গিত এড়াতে 403 (নিষিদ্ধ) পরিবর্তে 404 (বিদ্যমান নেই)
  • সাবফোল্ডারগুলিতে (অর্থাত্ থিম এবং প্লাগইন যা আক্রমণ করার সুযোগ দেয়)
  • কেস-সংবেদনশীল, এক্সটেনশন-নমনীয়, README.html, বা লাইসেন্স.html কেও ধরবে (চেঞ্জলগের মতো আদর্শ সন্দেহভাজনকে যুক্ত করতে নির্দ্বিধায় মনে করুন | প্রশ্নাবলী অবদান)

ব্যক্তিগতভাবে, আমিও ব্লক করব:

RewriteRule \.(?:psd|log|cmd|exe|bat|c?sh)$ - [NC,F]

বিশেষ দ্রষ্টব্য:

  • '?:' কেবল বন্ধনীটিকে মেলানো নয় (কোনও গুরুত্ব নেই) হিসাবে ঘোষণা করে।
  • রাইটারইংগাইন হওয়ার প্রয়োজন on(এটি সম্ভবতঃ এটি বিরল), ওয়ার্ডপ্রেস ব্যবহার করা ছাড়া ... (কুৎসিত পারমালিক্স, ইত্যাদি ...) থাকে।
  • সন্নিবেশ আগে# BEGIN WordPress আপনার .htaccess অধ্যায়
ফ্র্যাঙ্ক নোক
সূত্র
3 
add_action('core_upgrade_preamble','my_function_to_delete_files');

সম্পাদনা করুন: আপনি এগুলিও দেখতে পারেন

add_action('upgrader_pre_install','my_function_to_delete_files');
add_action('upgrader_post_install','my_function_to_delete_files');
আতিফ মোহাম্মদ আমিনউদ্দিন
সূত্র
ধন্যবাদ, আমি পিএইচপি আনলিঙ্ক বৈশিষ্ট্যটি বের করেছিলাম এবং এটি কার্যকর হয় তবে একটি সমস্যা। আপনার সরবরাহ করা হুকটি ড্যাশবোর্ডের নীচে আপডেট বিভাগে গিয়ে কেবল সম্পাদন করা বলে মনে হচ্ছে। আপগ্রেড হওয়ার পরে কি অন্য কোনও হুক আছে?
সাহস কত্তা
1
অসুস্থ একবার দেখে নিন এবং আপনাকে জানান
আতিফ মোহাম্মদ আমিনউদ্দিন
@ সাহস @ atif089 আপনি এটি কাজ করতে পরিচালিত?
INT
মুছে ফেলার পরিবর্তে (আপনি যদি chmod("/path/to/readme.txt", 0640);
রিডমি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.