ปลั๊กอินของโฟลเดอร์ควรรวมไฟล์ index.php เปล่าหรือไม่

WordPress ในwp-contentโฟลเดอร์นั้นมีไฟล์ PHP เปล่าซึ่งมีหน้าตาแบบนี้

<?php
// Silence is golden.
?>

ปลั๊กอินควรมีไฟล์ว่างแบบนี้และหยุดดูการดูเนื้อหาของไดเรกทอรีหรือไม่? สิ่งที่เกี่ยวกับโฟลเดอร์เพิ่มเติมในรูปแบบ - เช่นincludesไดเรกทอรีหรือไม่?

ไม่พวกเขาไม่ควร หากปลั๊กอินมีช่องโหว่เพียงเพราะบางคนอาจเห็นโครงสร้างไดเรกทอรีของปลั๊กอินนั้นขาด ข้อผิดพลาดเหล่านี้ควรได้รับการแก้ไข
การรักษาความปลอดภัยผ่านความสับสนเป็นข้อผิดพลาดสำหรับตัวเอง

มันขึ้นอยู่กับเจ้าของเว็บไซต์ที่จะอนุญาตหรือห้ามการเรียกดูไดเรกทอรี

ปัญหาที่สองคือประสิทธิภาพ: WordPress สแกนไฟล์ PHP ทั้งหมดในไดเรกทอรีรากของปลั๊กอินเพื่อค้นหาส่วนหัวของปลั๊กอิน /wp-content/plugins/wpse-examples/นี้จะช่วยให้คุณมีปลั๊กอินหลายภายใต้ไดเรกทอรีเดียวกันเช่น

นอกจากนี้ยังหมายความว่าไฟล์ PHP ที่ไม่ได้ใช้ในไดเรกทอรีนั้นเสียเวลาและหน่วยความจำเมื่อ WordPress กำลังค้นหาปลั๊กอิน ไฟล์หนึ่งไฟล์จะไม่ทำอันตรายอะไรมาก แต่ลองจินตนาการว่านี่จะเป็นเรื่องธรรมดา คุณกำลังสร้างปัญหาที่แท้จริงในความพยายามที่จะแก้ไขตัวละคร

ฉันจะบอกว่าใช่ การรักษาความปลอดภัยด้วยความสับสนนั้นทำงานได้ถ้าคุณมัว แต่คลุมเครือมากขึ้นแล้วก็เป็นเพื่อนบ้านของคุณ :) (พูดเล่น แต่มีความจริงบางอย่าง)

ความจริงก็คือตอนนี้บอท / สแกนเนอร์รวบรวมรายการปลั๊กอินทันทีจาก wordpress.org และรวบรวมข้อมูลปลั๊กอินของ url โดยตรงเวอร์ชันลายนิ้วมือเพื่อหาช่องโหว่ที่รู้จักและเก็บข้อมูลในฐานข้อมูลเพื่อการอ้างอิง

บอทไม่สามารถรวบรวมข้อมูลในการติดตั้งของคุณหรือปล่อยให้มันเป็นผู้สร้างปลั๊กอินเพื่อให้แน่ใจว่าคุณปลอดภัย เกี่ยวกับทั้งสองวิธี

PS ในบันทึกด้านมี 186 รายงานการหาประโยชน์จากปลั๊กอิน wordpress.org เมื่อปีที่แล้ว (* รายงาน .. )

เนื่องจาก WordPress core ทำสิ่งนี้เหมาะสมสำหรับปลั๊กอินตามความเหมาะสม แม้ว่าสิ่งเหล่านี้จะได้รับการปกป้องด้วยการตั้งค่าฝั่งเซิร์ฟเวอร์ที่หลากหลาย แต่ก็ไม่ได้ทำให้การตั้งค่าเริ่มต้นเป็นไปได้

ดังที่ fuxia ชี้ให้เห็นมีข้อเสียเปรียบด้านประสิทธิภาพในการมี.phpไฟล์พิเศษที่ WordPress ใช้สแกนหาปลั๊กอิน index.htmlอาจจะเป็นตัวเลือกที่ดี แน่นอนว่าตัวเลือกที่ดีที่สุดคือห้ามมิให้ไดเรกทอรีเรียกดูเว็บเซิร์ฟเวอร์

และความปลอดภัยผ่านความสับสนก็ไม่ดีเช่นกัน