Les dossiers de plug-ins doivent-ils inclure un fichier index.php vierge?

Question

Les dossiers de plug-ins doivent-ils inclure un fichier index.php vierge?

- 16
- 8736 2012-03-13
WordPress lui-même,dans le dossier wp-content,comprend unfichier PHP vide qui ressemble à ceci.

<?php // Silence is golden. ?>

Lesplugins devraient-ils égalementinclure unfichier vide comme celui-cipourempêcher lesgens de visualiser le contenu d'un répertoire?Qu'enest-il des dossiers supplémentaires dans lesthèmes - comme un répertoire includes?
WordPress itself, in the wp-content folder, includes an empty PHP file which looks like this.

<?php // Silence is golden. ?>

Should plugins include an empty file like this as well to stop folks view viewing the contents of a directory? What about additional folders in themes -- like an includes directory?
plugin-development theme-development

- oui,c'estprobablement unebonneidée.Jen'aijamais comprispourquoi WPn'apas `Options –Indexes` dans le htaccessfourni,donc cesfichiersne seraientpasnécessaires ...
  
  yes, it's probably a good idea. Never understood why WP doesn't have `Options –Indexes` in the bundled htaccess, so these files wouldn't be necessary...
  - 1
  - 2012-03-13
  - onetrickpony

4 réponses

votes

- 10
- 2012-03-13
Je vais dire OUI.La sécuritépar l'obscuritéfonctionne si vous êtesplus obscur que vos voisins :) (enplaisantantmaisil y a du vrai à cela).

La réalitéest que les robots/scanners compilentmaintenant les listes deplugins directement sur wordpress.orget explorent directement l'URL duplugin,en prenant les versions d'empreintes digitalespour lesexploits connuset en conservant lesinformations dans unebase de donnéespour référence.

Alors,lequelpréférez-vous,unbotne pouvantpas recueillir d'informations sur votreinstallation,ou laissant le soin à l'auteur duplugin de s'assurer que vous êtesen sécurité.Et les deux.

ps.Enpassant,186exploits ont été signalés àpartir deplugins wordpress.org l'année dernière. (* Signalé ..).

I am going to say YES. Security through obscurity works if you're more obscure then your neighbors :) (joking but there is some truth to that).

The reality is that the bots/scanners now compile the plugin lists right off wordpress.org and crawl the plugin url's directly, fingerprinting versions for known exploits and keeping the info in a database for reference.

So which one would you rather have, a bot not being able to gather info on your install, or leaving it up to the plugin author to make sure you're secure. How about both.

ps. On a side note there were 186 reported exploits from wordpress.org plugins last year .(*reported..).
- Les scanners d'exploitne testentpas si lepluginexiste.Ilsessaient d'exécuter l'exploit lors de lapremière requête.Un `index.php` videne protégerait rien,vous auriezjuste unfaux sentiment de sécurité.
  
  Exploit scanners do not test if the plugin exists. They try to run the exploit during the first request. An empty `index.php` would not protect anything, you would just get a false sense of security.
  - 1
  - 2012-03-13
  - fuxia
- Maisils lefont,wp-scan (l'une desnombreuses)empreintes digitales sur 2200pluginsparexemple,et utilise desempreintes digitales décentespour détecter les versions (taille defichier,ajouts defichiers,etc.).
  
  But they do, wp-scan (one of many) fingerprints over 2200 plugins for example, and uses some decent fingerprinting to detect versions (file size, file additions, etc).
  - 0
  - 2012-03-13
  - Wyck
- J'ainettoyé des dizaines de sites WordPresspiratés.Presquetoujours,lapremière demande était une véritable attaque.C’estjuste raisonnable:pourquoiperdre dutemps avec une analyse détaillée si vouspouveztester la vulnérabilité dès lapremière requête?[Suivez vos 404] (https://github.com/toscho/T5-404-Tools)pour le voir.:)
  
  I’ve cleaned up dozens of hacked WordPress sites. Almost always the first request was a real attack. That’s just reasonable: Why wasting time with a detailed scan if you can test the vulnerability in the first request? [Track your 404s](https://github.com/toscho/T5-404-Tools) to see it. :)
  - 0
  - 2012-03-13
  - fuxia
- Je suis d'accord,mais vous savez aussi que cela concerneen grandepartie la collecte de données.Et la réalitéest qu'il y aplus de 10kplugins dans le dépôtet denombreux utilisateurs quine peuventpas verrouiller uneboîte ou sont simplementparesseux.
  
  I agree, but you also know that a lot of this is about gathering data. And the reality is that there are over 10k plugins in the repo and many users that can't lock a box down or are just lazy.
  - 0
  - 2012-03-13
  - Wyck
- La question concerne les recommandationspour les auteurs deplugins.Entant qu'auteur,vous devez _fix_fixer_ lesfailles de sécurité,pas les _ cacher_.C’est aumoinsma recommandation.
  
  The question is about recommendations for plugin authors. You, as an author, should _fix_ security holes, not _hide_ them. That’s my recommendation at least.
  - 0
  - 2012-03-13
  - fuxia
- Je suis d'accord,cela devraitincomber à l'utilisateurfinalet non à l'auteur.Maisje nepensepas que çafassemalnonplus.Je voulaisjuste ajouter un contre-pointpuisque vous avez dit «non».
  
  I agree, this should be up to the end user and not the author. But I don't think it hurts either. I just wanted to add a counter-point since you said "no".
  - 1
  - 2012-03-13
  - Wyck
- amarqué celui-ci comme acceptéen raison du débat sur les commentaires!
  
  marked this one as accepted because of the comment debate!
  - 1
  - 2012-03-22
  - chrisguitarguy
- 1
- 2013-12-01
Étant donné que lenoyau de WordPress lefait,ilest logique que lesplugins suivent cetexemple.Bien quetout celapuisse êtreprotégé avec diversparamètres côté serveur,celane faitpas demal d'avoir une valeurpar défaut (probablementpourquoi le cœur de WordPress lefait).

Since WordPress core does this is makes sense for plugins to follow suit. While all of this can be protected with various server side settings it doesn't hurt to have a default (probably why WordPress core does it).
- 0
- 2019-03-06
Comme l'a soulignéfuxia,il y a uninconvénienten termes deperformances à avoir unfichier .php supplémentaire que WordPress recherche desplugins.Un index.html seraitprobablement unemeilleure option.Bienentendu,lameilleure option serait d'interdire lanavigation dans les répertoires via le serveur Web.

Et aussi, la sécuritépar l'obscuritén'estpasbonne.

As fuxia pointed out, there is a performance drawback in having an extra .php file that WordPress to scan for plugins. An index.html would probably be a better option. Of course, the best option would be to forbid directory browsing through the web server.

And also, security through obscurity is no good.

fuxia · Accepted Answer · 2012-03-13

18

2012-03-13

Non,ilsne devraientpas.Si unplugin a des vulnérabilités simplementparce que quelqu'unpourrait voir sa structure de répertoire,ilest cassé. Ces bogues devraient être corrigés.
La sécuritépar l'obscurité est unbogueen soi.

Il appartient aupropriétaire du site d'autoriser ou d'interdire lanavigation dans le répertoire.

Un deuxièmeproblème concerne lesperformances: WordPress scannetous lesfichiers PHP dans le répertoire racine d'unplugin pourtrouver lesen-têtes deplugin.Cela vouspermet d'avoirplusieursplugins dans lemême répertoire,parexemple /wp-content/plugins/wpse-examples/.

Cela signifie également que lesfichiers PHPinutilisés dans ce répertoireperdent dutempset de lamémoire lorsque WordPress recherche desplugins.Unfichierne ferapasbeaucoup demal,maisimaginez que cela devienne unepratique courante.Vous créez unproblème réelpourtenter de résoudre unproblèmefictif.

"Il appartient aupropriétaire du site d'autoriser ou d'interdire lanavigation dans le répertoire."C'estprobablement lepoint clé.

"Its up to the site owner to allow or forbid directory browsing." That's probably the key point.
- 2
- 2012-03-13
- chrisguitarguy
etmaprincipale questionest,pourquoi lesfichiersprincipaux dupluginne sont-ilspas écrits dans `index.php`?celapourrait être une solution de contournement optimale

and my main question is, why not the main plugin files is not written in `index.php`? that could be optimal workaround
- 0
- 2018-04-15
- T.Todua