关掉文件夹访问 [Wordpress安全]
Wednesday, July 30th, 2008
by Lucifr
- 29
- Add a Comment
那天介绍了一个去掉Wordpress的版本信息 的安全技巧,结果被很 多 人视为鸡肋。但lucifr不气馁,不抛弃,不放弃……(省去若干),今天再介绍一个Wordpress的安全设置,或许对小盆友们有帮助。
默认的Wordpress是允许人们通过浏览器访问服务器上一些文件夹的内容的,你可以在地址栏里输入你的wordpress主页地址,后面再加上“/wp-content/plugins/”,比如:
http://lucifr.com/wp-content/plugins
如果你看到的是404页面或是空白页面,那么说明你的文件夹访问已经被禁止,相对来说安全了。否则如果看到了如下面这位仁兄一样的文件夹列表视图,更要命的是底部还有你所使用的服务器的版本信息,那说明你的文件夹访问还没有被关闭。
那位小盆友会问了:不关闭的话有什么坏处呢?
1. 被别人轻易发现你所使用的插件和主题,如果相应的插件和主题存在漏洞,hacker就可以有针对性地进行攻击。
2. 被别人轻易发现你存放在服务器上的一些不想公开的东西,比如很黄很暴力让人看了很想俯卧撑的东西……
3. 被别人轻易发现你所使用的服务器版本。
注意lucifr用了“轻易”这个词,因为对于hacker们来说总是会有很多方法去看到他们想要看的东西,但经过修改总能让他们不那么“轻易”地看到。
老的方法是在你不想被看到的文件夹中(比如/wp-content/plugins/和/wp-content/themes/等)建立一个空白的index.html。这个方法确实简单,但却存在问题,那就是只对有这个空白index.html的文件夹有效,没添加这个html的文件夹包括子文件夹仍能被访问。那位说那俺就都加上,lucifr只能说您是一位勤劳的人,因为很多plugin和theme的子文件夹都是一大堆。这里介绍一个新的修改.htaccess文件的方法。
1. 首先要保证你的服务器是支持.htaccess的,比如lucifr用的hostmonster。
2. 让你使用的ftp工具显示隐藏文件。
3. 来到你的wordpress的根目录。
4. 找到.htaccess文件并用Notepad++一类的文本编辑器打开它,在最后添加如下语句后保存(上传):
# Prevents directory listing
Options -Indexes
好了,现在再试试指向“/wp-content/plugins/”或是“/wp-content/themes/”,你看到的应该是404页面了(lucifr的plugins页面似乎被SEO工具自动导向到一篇介绍插件的文章了)。
这一招是不是也很鸡肋&火星呢?呵呵,欢迎盆友们前来拍砖!
点击查看更多关于safety,security,Wordpress,安全,技巧的内容。
Loading ...
通过RSS订阅
29 Comments
Vane
不鸡肋,呵呵。不过我没有设置过,默认就是404了:)
[回复]
Lucifr 回复于 July 30th, 2008 8:45 pm:
强的,难道host本身就支持dir listing?!
[回复]
Black-Xstar
我用的服务器默认是关闭index的。
[回复]
Lucifr 回复于 July 30th, 2008 9:31 pm:
好人性化的server啊
[回复]
Black-Xstar 回复于 July 31st, 2008 12:24 am:
我花了价钱的啊……
Lucifr 回复于 July 31st, 2008 9:03 pm:
看你上次介绍过,还以为是免费的咧
Black-Xstar 回复于 July 31st, 2008 9:45 pm:
哦,免费的不是用在applife.net上面,而使用在www.black-xstar.com这个。
杜罗华
我还有个更简单的方法,要想阻止访问plugins目录,只要在plugins目录下建个空白的index.php就OK了,访问目录时,Apache会默认加载index.php而不是list目录树。不信你试试~
[回复]
Lucifr 回复于 July 30th, 2008 10:28 pm:
READ before commenting, please…
[回复]
Mao
真的很火星…你用HM主机,可以直接设置为无索引的…..
找到索引管理器管理器吧
[回复]
Lucifr 回复于 July 31st, 2008 9:06 pm:
Lucifr总是后知后觉的……买了主机也没好好研究,惭愧。
就算介绍给那些没这个功能的朋友吧,在网上转了一圈儿发现没关掉的人还是不在少数的
[回复]
ZH CEXO
这个好像在2.5以上的WP版本后就默认关闭了吧,我也不知道,不过你说的安全问题的确值得重视。
[回复]
Lucifr 回复于 July 31st, 2008 9:07 pm:
Lucifr用的是2.6好像也还是默认打开的,wp的安全问题好像一直不怎么受到重视,是说wp的安全做得太好了么?
[回复]
ZH CEXO 回复于 July 31st, 2008 9:48 pm:
我的好像默认关闭啊~~
Lucifr 回复于 July 31st, 2008 9:54 pm:
那可能你的主机本身就是默认关闭directory listing的
Chada
我的做法是和楼上一样的,添加了一个空白index.html。其实还可以在index.html文件里添加一些转向代码指向首页或其他页面,这样当人家访问炸个目录时,便会自动跳转到指定页面。
另外,需要禁止访问的不仅仅是themes和plugins两个文件夹,uploads及其内部文件目录以及根目录的wp-includes也需要进行相关操作。
因为目录数众多,Lucifr的修改.htaccess的方法就显得更方便快捷了。^o^
[回复]
Lucifr 回复于 July 31st, 2008 9:08 pm:
lucifr在写之前也google过,大多数介绍还是用的index.html的方法,.htaccess更方便一些~~
[回复]
stephen
我是在一些重要的文件夹内放一个index文件~这样好像也是可以防止别人看自己的文件~~
[回复]
Lucifr 回复于 July 31st, 2008 9:23 pm:
这是老的方法,其弊端lucifr已在本文中进行了介绍
[回复]
杜罗华
不过这个方法确实好~~~
[回复]
Lucifr 回复于 July 31st, 2008 9:24 pm:
善哉善哉~
[回复]
WordPress Tips: 关掉文件夹访问 at WordPress Today
[...] 关掉文件夹访问 [Wordpress安全],在一些服务器上如果目录下没有index.*文件,当访问者访问时会直接展示这个目录下的文件列表。理论上这是存在安全隐患的,特别是在一些非*nix服务器和文件权限没有仔细设置的web程序上。本文利用.htaccess来实现关掉文件夹访问。 [...]
Greenmoon55
不错不错,这下是403 Permission Denied
[回复]
Lucifr 回复于 August 1st, 2008 6:51 pm:
我的都是404
[回复]
Greenmoon55 回复于 August 1st, 2008 9:25 pm:
为什么我的就是403啊
[回复]
Lucifr 回复于 August 1st, 2008 10:29 pm:
404是Unfound(要找的没找到),而403是Forbidden(想看的不让看)
Wut I Am » Blog Archive » 关掉 Wordpress 下的 directory listing
[...] 刚才看到这篇文章,检查了下我的 Wordpress,发现也有这个问题,赶紧修改了 WP 根目录下的 .htaccess 文件,在文件最后加上如下语句: [...]
LD
这个方法简洁
[回复]
Lucifr 回复于 August 3rd, 2008 9:34 pm:
简约,不简单……Wordpress……(请陈道明来读)
[回复]