那天介绍了一个去掉Wordpress的版本信息 的安全技巧,结果被很 多 人视为鸡肋。但lucifr不气馁,不抛弃,不放弃……(省去若干),今天再介绍一个Wordpress的安全设置,或许对小盆友们有帮助。
默认的Wordpress是允许人们通过浏览器访问服务器上一些文件夹的内容的,你可以在地址栏里输入你的wordpress主页地址,后面再加上“/wp-content/plugins/”,比如:
http://lucifr.com/wp-content/plugins
如果你看到的是404页面或是空白页面,那么说明你的文件夹访问已经被禁止,相对来说安全了。否则如果看到了如下面这位仁兄一样的文件夹列表视图,更要命的是底部还有你所使用的服务器的版本信息,那说明你的文件夹访问还没有被关闭。
那位小盆友会问了:不关闭的话有什么坏处呢?
1. 被别人轻易发现你所使用的插件和主题,如果相应的插件和主题存在漏洞,hacker就可以有针对性地进行攻击。
2. 被别人轻易发现你存放在服务器上的一些不想公开的东西,比如很黄很暴力让人看了很想俯卧撑的东西……
3. 被别人轻易发现你所使用的服务器版本。
注意lucifr用了“轻易”这个词,因为对于hacker们来说总是会有很多方法去看到他们想要看的东西,但经过修改总能让他们不那么“轻易”地看到。
老的方法是在你不想被看到的文件夹中(比如/wp-content/plugins/和/wp-content/themes/等)建立一个空白的index.html。这个方法确实简单,但却存在问题,那就是只对有这个空白index.html的文件夹有效,没添加这个html的文件夹包括子文件夹仍能被访问。那位说那俺就都加上,lucifr只能说您是一位勤劳的人,因为很多plugin和theme的子文件夹都是一大堆。这里介绍一个新的修改.htaccess文件的方法。
1. 首先要保证你的服务器是支持.htaccess的,比如lucifr用的hostmonster。
2. 让你使用的ftp工具显示隐藏文件。
3. 来到你的wordpress的根目录。
4. 找到.htaccess文件并用Notepad++一类的文本编辑器打开它,在最后添加如下语句后保存(上传):
# Prevents directory listing
Options -Indexes
好了,现在再试试指向“/wp-content/plugins/”或是“/wp-content/themes/”,你看到的应该是404页面了(lucifr的plugins页面似乎被SEO工具自动导向到一篇介绍插件的文章了)。
这一招是不是也很鸡肋&火星呢?呵呵,欢迎盆友们前来拍砖!
通过RSS订阅
{ 27 条评论… 阅读评论或参加讨论 }
不鸡肋,呵呵。不过我没有设置过,默认就是404了:)
强的,难道host本身就支持dir listing?!
我用的服务器默认是关闭index的。
好人性化的server啊
我花了价钱的啊……
看你上次介绍过,还以为是免费的咧
哦,免费的不是用在applife.net上面,而使用在www.black-xstar.com这个。
我还有个更简单的方法,要想阻止访问plugins目录,只要在plugins目录下建个空白的index.php就OK了,访问目录时,Apache会默认加载index.php而不是list目录树。不信你试试~
READ before commenting, please…
真的很火星…你用HM主机,可以直接设置为无索引的…..
找到索引管理器管理器吧
Lucifr总是后知后觉的……买了主机也没好好研究,惭愧。
就算介绍给那些没这个功能的朋友吧,在网上转了一圈儿发现没关掉的人还是不在少数的
这个好像在2.5以上的WP版本后就默认关闭了吧,我也不知道,不过你说的安全问题的确值得重视。
Lucifr用的是2.6好像也还是默认打开的,wp的安全问题好像一直不怎么受到重视,是说wp的安全做得太好了么?
我的好像默认关闭啊~~
那可能你的主机本身就是默认关闭directory listing的
我的做法是和楼上一样的,添加了一个空白index.html。其实还可以在index.html文件里添加一些转向代码指向首页或其他页面,这样当人家访问炸个目录时,便会自动跳转到指定页面。
另外,需要禁止访问的不仅仅是themes和plugins两个文件夹,uploads及其内部文件目录以及根目录的wp-includes也需要进行相关操作。
因为目录数众多,Lucifr的修改.htaccess的方法就显得更方便快捷了。^o^
lucifr在写之前也google过,大多数介绍还是用的index.html的方法,.htaccess更方便一些~~
我是在一些重要的文件夹内放一个index文件~这样好像也是可以防止别人看自己的文件~~
这是老的方法,其弊端lucifr已在本文中进行了介绍
不过这个方法确实好~~~
善哉善哉~
不错不错,这下是403 Permission Denied
我的都是404
为什么我的就是403啊
404是Unfound(要找的没找到),而403是Forbidden(想看的不让看)
这个方法简洁
简约,不简单……Wordpress……(请陈道明来读)
{ 2 次引用 }