Les dossiers de plug-in doivent-ils inclure un fichier index.php vide?

13

WordPress lui-même, dans le dossier wp-content , inclut un fichier PHP vide qui ressemble à ceci.

<?php
// Silence is golden.
?>

Les plugins devraient-ils inclure un fichier vide comme celui-ci pour empêcher les gens de voir le contenu d'un répertoire? Qu'en est-il des dossiers supplémentaires dans les thèmes, comme un répertoire includes ?

    
posée chrisguitarguy 13.03.2012 - 02:38

3 réponses

8

Je vais dire OUI. La sécurité par l'obscurité fonctionne si vous êtes plus obscur que vos voisins :) (en plaisantant, mais il y a du vrai là-dedans).

La réalité est que les robots / scanneurs compilent maintenant les listes de plug-ins dès WordPress.org et explorent directement les URL du plug-in, les versions des empreintes digitales des exploits connus et la conservation des informations dans une base de données.

Alors, lequel préféreriez-vous avoir, un bot ne pouvant pas collecter d’informations sur votre installation, ou laissant l’auteur du plugin s’assurer que vous êtes sécurisé? Que diriez-vous des deux.

ps. Par ailleurs, 186 exploits de plugins wordpress.org ont été signalés l’année dernière. (* Rapporté ..).

    
réponse donnée Wyck 13.03.2012 - 02:59
16

Non, ils ne devraient pas. Si un plugin a des vulnérabilités simplement parce que quelqu'un peut voir sa structure de répertoires, il est cassé. Ces bogues doivent être corrigés.
La sécurité par l'obscurité est un bug pour lui-même.

Il appartient au propriétaire du site d'autoriser ou d'interdire la navigation dans les répertoires.

Les performances sont un autre problème: WordPress analyse tous les fichiers PHP du répertoire racine d’un plugin pour rechercher les en-têtes de plug-in. Cela vous permet d'avoir plusieurs plugins dans le même répertoire, par exemple /wp-content/plugins/wpse-examples/ .

Cela signifie également que les fichiers PHP inutilisés de ce répertoire sont une perte de temps et de mémoire lorsque WordPress recherche des plug-ins. Un fichier ne fera pas beaucoup de mal, mais imaginons que cela devient une pratique courante. Vous créez un réel problème pour tenter de réparer une fiction.

    
réponse donnée fuxia 13.03.2012 - 02:47
1

Depuis que le noyau WordPress le fait, il est logique que les plugins fassent de même. Bien que tout cela puisse être protégé avec divers paramètres côté serveur, il n’est pas gênant d’avoir un paramètre par défaut (probablement pourquoi le noyau WordPress le fait).

    
réponse donnée BFTrick 01.12.2013 - 16:11

Lire d'autres questions sur les étiquettes