web-dev-qa-db-fra.com

Les dossiers de plug-in doivent-ils inclure un fichier index.php vide?

WordPress lui-même, dans le dossier wp-content, inclut un fichier PHP vide qui ressemble à ceci.

<?php
// Silence is golden.
?>

Les plugins devraient-ils inclure un fichier vide comme celui-ci pour empêcher les gens de voir le contenu d'un répertoire? Qu'en est-il des dossiers supplémentaires dans les thèmes, comme un répertoire includes?

14
chrisguitarguy

Je vais dire oui. La sécurité à travers l'obscurité fonctionne si vous êtes plus obscur que vos voisins :) (en plaisantant mais il y a du vrai dans ça).

La réalité est que les robots/scanneurs compilent maintenant les listes de plug-ins dès Wordpress.org et explorent directement les URL du plug-in, en indiquant les versions des empreintes des exploits connus et en conservant les informations dans une base de données.

Alors, lequel préféreriez-vous avoir, un bot ne pouvant pas collecter d’informations sur votre installation, ou laissant l’auteur du plugin s’assurer que vous êtes sécurisé? Que diriez-vous des deux.

ps. Par ailleurs, 186 exploits de plugins wordpress.org ont été signalés l’année dernière (* a rapporté ..).

8
Wyck

Non, ils ne devraient pas. Si un plugin a des vulnérabilités simplement parce que quelqu'un peut voir sa structure de répertoires, il est cassé. Ces bogues devraient être corrigés.
La sécurité par l'obscurité est un bogue pour elle-même.

Il appartient au propriétaire du site d'autoriser ou d'interdire la navigation dans les répertoires.

Les performances sont un autre problème: WordPress analyse tous les fichiers PHP situés dans le répertoire racine d’un plugin pour rechercher les en-têtes de plug-in. Cela vous permet d'avoir plusieurs plugins dans le même répertoire, par exemple /wp-content/plugins/wpse-examples/.

Cela signifie également que les fichiers PHP inutilisés de ce répertoire sont une perte de temps et de mémoire lorsque WordPress recherche des plug-ins. Un fichier ne fera pas beaucoup de mal, mais imaginons que cela devient une pratique courante. Vous créez un réel problème dans le but de réparer une fiction.

17
fuxia

Depuis que le noyau WordPress le fait, il est logique que les plugins fassent de même. Bien que tout cela puisse être protégé avec divers paramètres côté serveur, il n’est pas gênant d’avoir un paramètre par défaut (probablement pourquoi le noyau WordPress le fait).

1
BFTrick

Comme Fuxia l’a fait remarquer, le fait de disposer d’un fichier .php supplémentaire dans lequel WordPress permet de rechercher des plug-ins présente des inconvénients. Un index.html serait probablement une meilleure option. Bien entendu, la meilleure option serait d’interdire la navigation dans les répertoires via le serveur Web.

Et aussi, la sécurité par l'obscurité n'est pas bonne.

0
Alex H