Empêcher l'accès ou supprimer automatiquement readme.html, license.txt, wp-config-sample.php

Question

Empêcher l'accès ou supprimer automatiquement readme.html, license.txt, wp-config-sample.php

- 14
- 12359 2010-12-15
Juste unepetite question quipourrait aider unpeu à la sécurité.J'ai remarqué que lefichier readme.html a lenuméro de versionindiqué.Il réapparaît après chaquemise àjour,tout comme lefichier licence.txtet wp-config-sample.php.

Existe-t-il unmoyen simple defaire supprimer automatiquement cesfichierspar WordPress après unemise àniveau?

Jebloque déjà l'affichage dunuméro de version dans lesbalisesmeta,lesflux rss,l'atome,etc.

Je sais que cetype de sécuritén'estpas vraiment cela très utile,maisje pensaisjuste que cepourrait être untoutpetit début.J'aientendu dire que lesgenspeuvent simplement vérifier la version dejQuery quiestincluse dans WP-includeset faire des références croisées sur la version de WP qui l'aexpédiée.

Just a quick question that might help a tad bit with security. I noticed that the readme.html file has the version number listed. It reappears after each upgrade and so do the licence.txt, and wp-config-sample.php.

Is there a easy way to have WordPress auto remove these files after an upgrade?

I already block the version number from showing in the meta tags, rss feeds, atom, etc.

I know this type of security isn't exactly that much helpful, but just thought it might be a tiny start. I heard that people can simply check the version of jQuery that is included in WP-includes and cross reference which version of WP shipped it.

security wp-config

3 réponses

votes

- 5
- 2015-09-06
Voicimon avis:

RewriteRule (?:readme|license|changelog|-config|-sample)\.(?:php|md|txt|html?) - [R=404,NC,L]

404 (nonexistant) au lieu de 403 (interdit)pour évitertoutindice d'existence.

également dans les sous-dossiers (c'est-à-dire lesthèmeset lesplugins,quipeuvent offrir des opportunités d'attaque)

insensible à la casse,flexible auxextensions,intercepte également README.html ou license.html (n'hésitezpas à ajouter des suspectstypiquestels que les changelogs| faq| contribution)

Personnellement,je bloquerais aussi:

RewriteRule \.(?:psd|log|cmd|exe|bat|c?sh)$ - [NC,F]

nb:

'?:' déclare simplement que le crochetne correspondpas (aucuneimportance).

nécessite que RewriteEngine soit on (ilestfortprobable que ce serait rare d'utiliser wordpress sans ... (permaliensmoche,etc ...)).

insérez avant la section # BEGIN WordPress dans votre .htaccess
Here is my take:

RewriteRule (?:readme|license|changelog|-config|-sample)\.(?:php|md|txt|html?) - [R=404,NC,L]

404 (not existing) rather than 403 (forbidden) to avoid any clue about existence.

also in subfolders (i.e. themes and plugins, which might offer attack opportunities)

case-insensitive, extension-flexible, also catches README.html, or license.html (feel free to add typical suspects like changelogs|faq|contributing)

Personally, I would also block:

RewriteRule \.(?:psd|log|cmd|exe|bat|c?sh)$ - [NC,F]

nb:

'?:' just declares the bracket to be non-matching (no importance).

requires RewriteEngine to be on (it most likely is. it would be rare, to use wordpress without... (ugly permalinks, etc...)).

insert before the # BEGIN WordPress section in your .htaccess
- 3
- 2010-12-15
add_action('core_upgrade_preamble','my_function_to_delete_files');

Modifier: vouspouvez également lesessayer

add_action('upgrader_pre_install','my_function_to_delete_files'); add_action('upgrader_post_install','my_function_to_delete_files');
add_action('core_upgrade_preamble','my_function_to_delete_files');

Edit : you can also try these

add_action('upgrader_pre_install','my_function_to_delete_files'); add_action('upgrader_post_install','my_function_to_delete_files');
- Merci,j'ai compris lafonctionnalité de dissociation dephpet celafonctionne,mais unproblème.Le hook que vous avezfourni semble s'exécuteren visitant simplement la section Mises àjour sous Tableau debord.Existe-t-il un autre hook après lamise àniveau?
  
  Thanks, I figured out the php unlink feature and it works, but one issue. The hook you provided seems to execute by simply visiting the Updates section under Dashboard. Is there another hook for after the upgrade has occured?
  - 0
  - 2010-12-15
  - Sahas Katta
- Je vaisjeter un œilet tefaire savoir
  
  ill take a look and let you know
  - 1
  - 2010-12-16
  - Atif Mohammed Ameenuddin
- @Sahas @ atif089 Avez-vous réussi àfairefonctionner cela?
  
  @Sahas @atif089 Did you manage to get this to work?
  - 0
  - 2011-05-12
  - INT
- Au lieu de supprimer (au cas où vous voudriez réellement lire lefichier readme!),Vouspouvez l'utiliser dans votrefonction `chmod ("/chemin/vers/readme.txt ",0640);`
  
  Instead of delete (in case you want to actually read the readme!) you can use this in your function `chmod("/path/to/readme.txt", 0640);`
  - 0
  - 2016-10-10
  - Bysander

Elpie · Accepted Answer · 2011-05-15

19

2011-05-15

Vousn'avezpas vraimentbesoin de supprimer cesfichiers.Ilestbeaucoupplusfacile de simplementbloquer l'accès àeux.Si vous utilisez dejolies URL,vous avez déjà unfichier .htaccess.L'utilisation de .htaccesspourbloquer lesfichiersest sécuriséeet vousne devez ajouter une directive qu'une seulefois.

Leblocage desfichiers sefaiten ajoutant une directive à .htaccess comme ceci:

     <files filename.file-extension>
         order allow,deny
         deny from all
    </files>

Donc,pourbloquer readme.html,procédez comme suit:

     <files readme.html>
         order allow,deny
         deny from all
    </files>

Faites demême avec lefichier de licence outout autrefichier auquel vous souhaitezempêcher quiconque d'accéder.Ouvrez simplement .htaccess dans le Bloc-notes ou danstout autre éditeur detexte debase,ajoutez les directiveset enregistrez,en vous assurant que l'éditeur detexte conserveexactement lenom dufichier - sans aucun .txt à lafin.

You don't really need to remove these files. It's much easier to just block access to them. If you are using pretty URL's you already have an .htaccess file. Using .htaccess to block the files is secure and you only have to add a directive once.

Blocking files is done by adding a directive to .htaccess like this:

    <files filename.file-extension>
         order allow,deny
         deny from all
    </files>

So, to block readme.html you do this:

    <files readme.html>
         order allow,deny
         deny from all
    </files>

Do the same with the license file or any other file you want to prevent anyone from accessing. Just open .htaccess in Notepad or any other basic text editor, add the directives and save, making sure that the text editor keeps the file name exactly - without any .txt on the end.

C'esten fait l'option avec laquellej'aifini par opter.Celafonctionneparfaitement.

This is actually the option I ended up going with. It works perfectly.
- 1
- 2011-05-16
- Sahas Katta
** Attention **,la syntaxe ci-dessusn'est valide quejusqu'à Apache 2.2!Ensuite,utilisez `Require all refusé` (en remplaçant ces 2 lignesinternes)pour Apache 2.4et supérieur.[Plus de détailsici] (https://httpd.apache.org/docs/2.4/upgrading.html#authz)

**Beware**, that the above Syntax is only valid up to Apache 2.2! Afterwards use `Require all denied` (replacing those inner 2 lines) for Apache 2.4 and above. [More Details here](https://httpd.apache.org/docs/2.4/upgrading.html#authz)
- 2
- 2017-03-07
- Frank Nocke