关掉文件夹访问 [Wordpress安全]

那天介绍了一个去掉Wordpress的版本信息 的安全技巧,结果被 视为鸡肋。但lucifr不气馁,不抛弃,不放弃……(省去若干),今天再介绍一个Wordpress的安全设置,或许对小盆友们有帮助。

默认的Wordpress是允许人们通过浏览器访问服务器上一些文件夹的内容的,你可以在地址栏里输入你的wordpress主页地址,后面再加上“/wp-content/plugins/”,比如:

http://lucifr.com/wp-content/plugins

如果你看到的是404页面或是空白页面,那么说明你的文件夹访问已经被禁止,相对来说安全了。否则如果看到了文件夹列表视图,更要命的是底部还有你所使用的服务器的版本信息,那说明你的文件夹访问还没有被关闭。

那位小盆友会问了:不关闭的话有什么坏处呢?

  1. 被别人轻易发现你所使用的插件和主题,如果相应的插件和主题存在漏洞,hacker就可以有针对性地进行攻击。
  2. 被别人轻易发现你存放在服务器上的一些不想公开的东西,比如很黄很暴力让人看了很想俯卧撑的东西……
  3. 被别人轻易发现你所使用的服务器版本。

注意lucifr用了“轻易”这个词,因为对于hacker们来说总是会有很多方法去看到他们想要看的东西,但经过修改总能让他们不那么“轻易”地看到。

老的方法是在你不想被看到的文件夹中(比如/wp-content/plugins/和/wp-content/themes/等)建立一个空白的index.html。这个方法确实简单,但却存在问题,那就是只对有这个空白index.html的文件夹有效,没添加这个html的文件夹包括子文件夹仍能被访问。那位说那俺就都加上,lucifr只能说您是一位勤劳的人,因为很多plugin和theme的子文件夹都是一大堆。这里介绍一个新的修改.htaccess文件的方法。

  1. 首先要保证你的服务器是支持.htaccess的,比如lucifr用的hostmonster
  2. 让你使用的ftp工具显示隐藏文件。
  3. 来到你的wordpress的根目录。
  4. 找到.htaccess文件并用Notepad++一类的文本编辑器打开它,在最后添加如下语句后保存(上传):
# Prevents directory listing Options -Indexes

好了,现在再试试指向“/wp-content/plugins/”或是“/wp-content/themes/”,你看到的应该是404页面了(lucifr的plugins页面似乎被SEO工具自动导向到一篇介绍插件的文章了)。

这一招是不是也很鸡肋&火星呢?呵呵,欢迎盆友们前来拍砖

Lucifr

Read more posts by this author.

Beijing, China http://lucifr.com