关掉文件夹访问 [Wordpress安全]
那天介绍了一个去掉Wordpress的版本信息 的安全技巧,结果被很 多 人视为鸡肋。但lucifr不气馁,不抛弃,不放弃……(省去若干),今天再介绍一个Wordpress的安全设置,或许对小盆友们有帮助。
默认的Wordpress是允许人们通过浏览器访问服务器上一些文件夹的内容的,你可以在地址栏里输入你的wordpress主页地址,后面再加上“/wp-content/plugins/”,比如:
http://lucifr.com/wp-content/plugins
如果你看到的是404页面或是空白页面,那么说明你的文件夹访问已经被禁止,相对来说安全了。否则如果看到了如下面这位仁兄一样的文件夹列表视图,更要命的是底部还有你所使用的服务器的版本信息,那说明你的文件夹访问还没有被关闭。
那位小盆友会问了:不关闭的话有什么坏处呢?
1. 被别人轻易发现你所使用的插件和主题,如果相应的插件和主题存在漏洞,hacker就可以有针对性地进行攻击。
2. 被别人轻易发现你存放在服务器上的一些不想公开的东西,比如很黄很暴力让人看了很想俯卧撑的东西……
3. 被别人轻易发现你所使用的服务器版本。
注意lucifr用了“轻易”这个词,因为对于hacker们来说总是会有很多方法去看到他们想要看的东西,但经过修改总能让他们不那么“轻易”地看到。
老的方法是在你不想被看到的文件夹中(比如/wp-content/plugins/和/wp-content/themes/等)建立一个空白的index.html。这个方法确实简单,但却存在问题,那就是只对有这个空白index.html的文件夹有效,没添加这个html的文件夹包括子文件夹仍能被访问。那位说那俺就都加上,lucifr只能说您是一位勤劳的人,因为很多plugin和theme的子文件夹都是一大堆。这里介绍一个新的修改.htaccess文件的方法。
1. 首先要保证你的服务器是支持.htaccess的,比如lucifr用的hostmonster。
2. 让你使用的ftp工具显示隐藏文件。
3. 来到你的wordpress的根目录。
4. 找到.htaccess文件并用Notepad++一类的文本编辑器打开它,在最后添加如下语句后保存(上传):
# Prevents directory listing
Options -Indexes
好了,现在再试试指向“/wp-content/plugins/”或是“/wp-content/themes/”,你看到的应该是404页面了(lucifr的plugins页面似乎被SEO工具自动导向到一篇介绍插件的文章了)。
这一招是不是也很鸡肋&火星呢?呵呵,欢迎盆友们前来拍砖!
“关掉文件夹访问 [Wordpress安全]”已被29人占领
留句话再走?
通过RSS订阅My videos. Featured videos.
- 关掉文件夹访问 [Wordpress安全]
- Omegle:请和陌生人说话
- Sweetcron:构建属于自己的Lifestream [Web2.0]
- Ubiquity 命令列表及使用指导 [Firefox]
- 医学诊断学与反垃圾留言 [Wordpress 插件]
- 去掉Wordpress的版本信息 [Wordpress技巧]
- 你用什么做启动页面?[Firefox设置]
- ray 说: @止戈, ...
- 止戈 说: 好像,看上去很强大的说...
- 济南先生 说: 济南市历下区第二人民医院是骗子医院。历下区第二人民医院在历下区卫生局的包庇下,雇佣无医师资格证书的非...
- 止戈 说: 好要用zenphoto,自己弄个汉化文件测试却不成功,头疼ing...
- ixiezi 说: 您好站长,请问我的网站 爱写字开发博客,可以和您建立友情连接吗?...
- .ShadoW″ 说: Please talk with me....
Vane 童鞋说:
2008年07月30日20点41分
不鸡肋,呵呵。不过我没有设置过,默认就是404了:)
回复
Lucifr 童鞋回复说:
强的,难道host本身就支持dir listing?!
回复
Black-Xstar 童鞋说:
2008年07月30日21点15分
我用的服务器默认是关闭index的。
回复
Lucifr 童鞋回复说:
好人性化的server啊
回复
Black-Xstar 童鞋回复说:
我花了价钱的啊……
回复
Lucifr 童鞋回复说:
看你上次介绍过,还以为是免费的咧
回复
Black-Xstar 童鞋回复说:
哦,免费的不是用在applife.net上面,而使用在www.black-xstar.com这个。
回复
杜罗华 童鞋说:
2008年07月30日22点24分
我还有个更简单的方法,要想阻止访问plugins目录,只要在plugins目录下建个空白的index.php就OK了,访问目录时,Apache会默认加载index.php而不是list目录树。不信你试试~
回复
Lucifr 童鞋回复说:
READ before commenting, please…
回复
Mao 童鞋说:
2008年07月31日08点07分
真的很火星…你用HM主机,可以直接设置为无索引的…..
找到索引管理器管理器吧
回复
Lucifr 童鞋回复说:
Lucifr总是后知后觉的……买了主机也没好好研究,惭愧。
就算介绍给那些没这个功能的朋友吧,在网上转了一圈儿发现没关掉的人还是不在少数的
回复
ZH CEXO 童鞋说:
2008年07月31日10点56分
这个好像在2.5以上的WP版本后就默认关闭了吧,我也不知道,不过你说的安全问题的确值得重视。
回复
Lucifr 童鞋回复说:
Lucifr用的是2.6好像也还是默认打开的,wp的安全问题好像一直不怎么受到重视,是说wp的安全做得太好了么?
回复
ZH CEXO 童鞋回复说:
我的好像默认关闭啊~~
回复
Lucifr 童鞋回复说:
那可能你的主机本身就是默认关闭directory listing的
回复
Chada 童鞋说:
2008年07月31日10点56分
我的做法是和楼上一样的,添加了一个空白index.html。其实还可以在index.html文件里添加一些转向代码指向首页或其他页面,这样当人家访问炸个目录时,便会自动跳转到指定页面。
另外,需要禁止访问的不仅仅是themes和plugins两个文件夹,uploads及其内部文件目录以及根目录的wp-includes也需要进行相关操作。
因为目录数众多,Lucifr的修改.htaccess的方法就显得更方便快捷了。^o^
回复
Lucifr 童鞋回复说:
lucifr在写之前也google过,大多数介绍还是用的index.html的方法,.htaccess更方便一些~~
回复
stephen 童鞋说:
2008年07月31日14点22分
我是在一些重要的文件夹内放一个index文件~这样好像也是可以防止别人看自己的文件~~
回复
Lucifr 童鞋回复说:
这是老的方法,其弊端lucifr已在本文中进行了介绍
回复
杜罗华 童鞋说:
2008年07月31日17点18分
不过这个方法确实好~~~
回复
Lucifr 童鞋回复说:
善哉善哉~
回复
WordPress Tips: 关掉文件夹访问 at WordPress Today 童鞋说:
2008年07月31日21点17分
[...] 关掉文件夹访问 [Wordpress安全],在一些服务器上如果目录下没有index.*文件,当访问者访问时会直接展示这个目录下的文件列表。理论上这是存在安全隐患的,特别是在一些非*nix服务器和文件权限没有仔细设置的web程序上。本文利用.htaccess来实现关掉文件夹访问。 [...]
Greenmoon55 童鞋说:
2008年08月01日07点03分
不错不错,这下是403 Permission Denied
回复
Lucifr 童鞋回复说:
我的都是404
回复
Greenmoon55 童鞋回复说:
为什么我的就是403啊
回复
Lucifr 童鞋回复说:
404是Unfound(要找的没找到),而403是Forbidden(想看的不让看)
回复
Wut I Am » Blog Archive » 关掉 Wordpress 下的 directory listing 童鞋说:
2008年08月01日11点13分
[...] 刚才看到这篇文章,检查了下我的 Wordpress,发现也有这个问题,赶紧修改了 WP 根目录下的 .htaccess 文件,在文件最后加上如下语句: [...]
LD 童鞋说:
2008年08月02日11点38分
这个方法简洁
回复
Lucifr 童鞋回复说:
简约,不简单……Wordpress……(请陈道明来读)
回复