web-dev-qa-db-fra.com

Autorisations de fichiers et de répertoires

J'ai installé la dernière version de WordPress 3.5 sur mon serveur CentOS. Lorsque j'ai essayé d'accéder à http://example.com/wp-includes/, j'ai reçu une liste du répertoire: ( Index de wp-includes ).

J'ai ajouté le code suivant en haut du fichier .htaccess et le problème a été résolu:

Options -Indexes
IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti*

Mon problème

Lorsque j'essaie d'accéder aux fichiers PHP dans wp-includes et wp-content à l'aide d'un navigateur Web (par exemple: http://example.com/wp-includes/class-smtp.php), un écran vide s'affiche. Je pense qu'il devrait montrer "Permission denied" ou quelque chose comme ça. Ai-je raison?

Comment puis-je atteindre cet objectif? Je suis inquiet si mon site Web est vulnérable aux attaques. Je suis déjà au courant de la Hardening WordPress article.

Voici mes permissions de répertoire et de fichier:

  • wp-admin: 755
  • wp-content: 755
  • wp-includes: 755
  • Les fichiers ont la permission 644
htaccesssecuritydirectorypermissions
5
Sumit Gupta

Les fichiers PHP dans le répertoire wp-includes ne feront rien s'ils sont accédés directement. Ils sont conçus pour être include() 'd dans un script PHP existant, tel que sur le serveur frontal ou dans le tableau de bord.

Votre entrée Options -Indexes dans le fichier .htaccess empêche simplement la liste des fichiers d'un répertoire lorsque aucun index.php n'est présent. C'est une bonne pratique de l'utiliser sur un serveur en direct. Je ne suis pas tout à fait sûr de ce que fait la deuxième ligne; vous devriez probablement l'enlever.

Si vous êtes particulièrement préoccupé par les attaques de votre serveur par des personnes, vous pouvez empêcher l'accès au répertoire wp-includes complètement . Pour ce faire, créez un fichier .htaccessà l'intérieur le dossier wp-includes avec le contenu suivant:

Deny from all
5
shea

Si vous souhaitez protéger votre installation WordPress, une chose que je fais toujours lorsque j'installe WordPress est de protéger mon dossier wp-admin (votre page de connexion). Ce que je fais est que je crée un fichier .htaccess dans wp-admin et n'autorise que certaines IP à accéder à ce dossier. Je pense qu'il y a quelques informations sur la page de connexion WordPress ici: htaccess redirect

Aussi qui est votre hôte? Avez-vous configuré ce serveur vous-même? Vous ne devriez pas voir votre index de wp-includes après avoir installé WordPress. Cela ne m'est jamais arrivé auparavant. : /

0
beacon