Verhindern Sie den Zugriff oder löschen Sie automatisch readme.html, license.txt, wp-config-sample.php

Question

Verhindern Sie den Zugriff oder löschen Sie automatisch readme.html, license.txt, wp-config-sample.php

- 14
- 12359 2010-12-15
Nureine kurze Frage,dieein bisschen zur Sicherheitbeitragen könnte.Ich habefestgestellt,dassin der Datei readme.html die Versionsnummer aufgeführtist.Es wirdnachjedem Upgradeerneut angezeigt,ebenso wie die Datei licence.txt und wp-config-sample.php.

Gibteseine einfache Möglichkeit,WordPress diese Dateiennacheinem Upgrade automatischentfernen zu lassen?

Ich habebereitsblockiert,dass die Versionsnummerin den Meta-Tags,RSS-Feeds,Atomen usw. angezeigt wird.

Ich weiß,dass diese Art von Sicherheitnichtgerade so sehr hilfreichist,dachte abernur,dassesein winziger Anfang sein könnte.Ich habegehört,dass die Benutzereinfach diein WP-Includesenthaltene Version vonjQuery überprüfen und verweisen können,welche Version von WP sie ausgeliefert hat.

Just a quick question that might help a tad bit with security. I noticed that the readme.html file has the version number listed. It reappears after each upgrade and so do the licence.txt, and wp-config-sample.php.

Is there a easy way to have WordPress auto remove these files after an upgrade?

I already block the version number from showing in the meta tags, rss feeds, atom, etc.

I know this type of security isn't exactly that much helpful, but just thought it might be a tiny start. I heard that people can simply check the version of jQuery that is included in WP-includes and cross reference which version of WP shipped it.

security wp-config

3 Antworten

Stimmen

- 5
- 2015-09-06
Hieristmeine Einstellung:

RewriteRule (?:readme|license|changelog|-config|-sample)\.(?:php|md|txt|html?) - [R=404,NC,L]

404 (nicht vorhanden) statt 403 (verboten),um Hinweise auf die Existenz zu vermeiden.

auchin Unterordnern (d. h. Themen und Plugins,diemöglicherweise Angriffsmöglichkeitenbieten)

Groß- und Kleinschreibungnichtberücksichtigen,Erweiterungflexibel,fängt auch README.html oder license.html ab (Sie könnentypische Verdächtige wie Änderungsprotokolle| faq| beitragen) hinzufügen.

Persönlich würdeich auchblockieren:

RewriteRule \.(?:psd|log|cmd|exe|bat|c?sh)$ - [NC,F]

nb:

'?:' deklariertnur die Klammer alsnicht übereinstimmend (keine Bedeutung).
erfordert,dass RewriteEngine onist (diesist höchstwahrscheinlich der Fall. Esist selten,WordPress ohne ... zu verwenden (hässliche Permalinks usw.)).
Fügen Sie vor dem Abschnitt # BEGIN WordPressin Ihren .htaccess

Here is my take:

RewriteRule (?:readme|license|changelog|-config|-sample)\.(?:php|md|txt|html?) - [R=404,NC,L]

404 (not existing) rather than 403 (forbidden) to avoid any clue about existence.
also in subfolders (i.e. themes and plugins, which might offer attack opportunities)
case-insensitive, extension-flexible, also catches README.html, or license.html (feel free to add typical suspects like changelogs|faq|contributing)

Personally, I would also block:

RewriteRule \.(?:psd|log|cmd|exe|bat|c?sh)$ - [NC,F]

nb:

'?:' just declares the bracket to be non-matching (no importance).
requires RewriteEngine to be on (it most likely is. it would be rare, to use wordpress without... (ugly permalinks, etc...)).
insert before the # BEGIN WordPress section in your .htaccess

Elpie · Accepted Answer · 2011-05-15

19

2011-05-15

Siemüssen diese Dateiennicht wirklichentfernen.Esist vieleinfacher,den Zugriff auf sie zublockieren.Wenn Sie hübsche URLs verwenden,haben Siebereitseine .htaccess-Datei.Die Verwendung von .htaccess zum Blockieren der Dateienist sicher und Siemüsseneine Anweisungnureinmal hinzufügen.

Das Blockieren von Dateienerfolgt durch Hinzufügeneiner Direktive zu .htaccess wiefolgt:

     <files filename.file-extension>
         order allow,deny
         deny from all
    </files>

Um readme.html zublockieren,gehen Siefolgendermaßen vor:

     <files readme.html>
         order allow,deny
         deny from all
    </files>

Machen Sie dasselbemit der Lizenzdatei odereiner anderen Datei,auf dieniemand zugreifen soll.Öffnen Sieeinfach .htaccessim Editor odereinem anderengrundlegenden Texteditor,fügen Sie die Anweisungen hinzu und speichern Sie,um sicherzustellen,dass der Texteditor den Dateinamengenaubeibehält - ohne .txt am Ende.

You don't really need to remove these files. It's much easier to just block access to them. If you are using pretty URL's you already have an .htaccess file. Using .htaccess to block the files is secure and you only have to add a directive once.

Blocking files is done by adding a directive to .htaccess like this:

    <files filename.file-extension>
         order allow,deny
         deny from all
    </files>

So, to block readme.html you do this:

    <files readme.html>
         order allow,deny
         deny from all
    </files>

Do the same with the license file or any other file you want to prevent anyone from accessing. Just open .htaccess in Notepad or any other basic text editor, add the directives and save, making sure that the text editor keeps the file name exactly - without any .txt on the end.

Quelle
Elpie

Diesisteigentlich die Option,mit derichmich letztendlichentschieden habe.Esfunktioniertperfekt.

This is actually the option I ended up going with. It works perfectly.
- 1
- 2011-05-16
- Sahas Katta
** Achtung **,dass die obige Syntaxnurbis Apache 2.2gültigist!Verwenden Sie anschließend "Alle verweigernerforderlich" (Ersetzen dieserinneren 2 Zeilen)für Apache 2.4 und höher.[Weitere Details hier] (https://httpd.apache.org/docs/2.4/upgrading.html#authz)

**Beware**, that the above Syntax is only valid up to Apache 2.2! Afterwards use `Require all denied` (replacing those inner 2 lines) for Apache 2.4 and above. [More Details here](https://httpd.apache.org/docs/2.4/upgrading.html#authz)
- 2
- 2017-03-07
- Frank Nocke