¿Deben las carpetas de complementos incluir un archivo index.php en blanco?

13

WordPress en sí mismo, en la carpeta wp-content , incluye un archivo PHP vacío que tiene este aspecto.

<?php
// Silence is golden.
?>

¿Deberían los complementos incluir un archivo vacío como este también para evitar que la gente vea el contenido de un directorio? ¿Qué pasa con las carpetas adicionales en temas, como un directorio includes ?

    
pregunta chrisguitarguy 13.03.2012 - 02:38

3 respuestas

8

Voy a decir SÍ. La seguridad a través de la oscuridad funciona si eres más oscuro que tus vecinos :) (bromeando pero hay algo de verdad en eso).

La realidad es que los robots / escáneres ahora compilan las listas de complementos directamente desde wordpress.org y rastrean las url de los complementos directamente, las versiones de huellas dactilares de explotaciones conocidas y guardan la información en una base de datos como referencia.

Entonces, ¿cuál preferirías tener? Un robot no puede recopilar información sobre tu instalación, o dejarlo en manos del autor del complemento para asegurarte de que estás seguro. ¿Qué hay de los dos.

ps. En una nota al margen, hubo 186 explotaciones reportadas de los complementos de wordpress.org el año pasado. (* Reportado ..).

    
respondido por el Wyck 13.03.2012 - 02:59
16

No, no deberían. Si un complemento tiene vulnerabilidades solo porque alguien pueda ver su estructura de directorios, está roto. Estos errores se deben corregir.
Seguridad a través de la oscuridad es un error por si mismo.

Es responsabilidad del propietario del sitio permitir o prohibir la navegación en el directorio.

Un segundo problema es el rendimiento: WordPress escanea todos los archivos PHP en el directorio raíz de un complemento para encontrar encabezados de complementos. Esto le permite tener varios complementos en el mismo directorio, por ejemplo, /wp-content/plugins/wpse-examples/ .

También significa que los archivos PHP no utilizados en ese directorio están perdiendo tiempo y memoria cuando WordPress está buscando complementos. Un archivo no hará mucho daño, pero imagina que esto es una práctica común. Estás creando un problema real en un intento de arreglar un ficticio.

    
respondido por el fuxia 13.03.2012 - 02:47
1

Dado que el núcleo de WordPress hace esto, tiene sentido que los complementos sigan su ejemplo. Si bien todo esto se puede proteger con varias configuraciones del lado del servidor, no está mal tener un valor predeterminado (probablemente el motivo por el que WordPress lo hace).     

respondido por el BFTrick 01.12.2013 - 16:11

Lea otras preguntas en las etiquetas