web-dev-qa-db-ger.com

Datei- und Verzeichnisberechtigungen

Ich habe die neueste Version von WordPress 3.5 auf meinem CentOS-Server installiert. Als ich versuchte, auf http://example.com/wp-includes/ zuzugreifen, erhielt ich eine Auflistung des Verzeichnisses: ( Index von wp-includes ).

Ich habe den folgenden Code am Anfang der .htaccess-Datei hinzugefügt und das Problem behoben:

Options -Indexes
IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti*

Mein Problem

Wenn ich versuche, mit einem Webbrowser auf PHP Dateien in wp-includes und wp-content zuzugreifen (zum Beispiel: http://example.com/wp-includes/class-smtp.php), wird ein leerer Bildschirm angezeigt. Ich denke, es sollte "Erlaubnis verweigert" oder so etwas anzeigen. Hab ich recht?

Wie kann ich das erreichen? Ich mache mir Sorgen, ob meine Website anfällig für Angriffe ist. Mir ist der Artikel Hardening WordPress bereits bekannt.

Hier sind meine Verzeichnis- und Dateiberechtigungen:

  • wp-admin: 755
  • wp-content: 755
  • wp-includes: 755
  • Dateien haben die Erlaubnis 644
htaccesssecuritydirectorypermissions
5
Sumit Gupta

Die PHP -Dateien im Verzeichnis wp-includes bewirken beim direkten Zugriff nichts. Sie sind so konzipiert, dass sie include() in einem vorhandenen PHP -Skript enthalten sind, z. B. im Front-End oder im Dashboard.

Ihr Options -Indexes-Eintrag in der .htaccess-Datei verhindert einfach eine Liste der Dateien in einem Verzeichnis, wenn kein index.php vorhanden ist. Es wird empfohlen, dies auf einem Live-Server zu verwenden. Ich bin mir nicht ganz sicher, was die zweite Zeile tut. Sie sollten es höchstwahrscheinlich entfernen.

Wenn Sie besonders besorgt sind über Personen, die Ihren Server angreifen, können Sie den Zugriff auf das Verzeichnis wp-includes vollständig verhindern. Erstellen Sie dazu eine .htaccess -Datei inside the wp-includes -Ordner mit dem folgenden Inhalt:

Deny from all
5
shea

Wenn Sie Ihre WordPress-Installation schützen möchten, ist eine Sache, die ich immer mache, wenn ich WordPress installiere, meinen wp-admin-Ordner (Ihre Anmeldeseite) zu schützen. Ich erstelle in wp-admin eine .htaccess-Datei und erlaube nur bestimmten IP-Adressen, auf diesen Ordner zuzugreifen. Ich denke, es gibt ein paar Infos zur WordPress-Anmeldeseite hier: htaccess redirect

Auch wer ist dein Gastgeber? Haben Sie diesen Server selbst eingerichtet? Sie sollten Ihren Index der WP-Includes nach der Installation von WordPress nicht mehr sehen. Das ist mir noch nie passiert. : /

0
beacon