今晚,当我注意到一个索引时,我正在手动将我正在处理的主题上传到我的wordpress安装中。我的主题文件夹中的php文件。我打开了文件,其中只包含以下三行代码:
<?php
//silence is golden
?>
这让我很担心,起初我想可能是我不小心把文件上传到了主题目录,但文件的内容并不是我想放的任何东西。
所以我的意思是,应该有一个索引。我的wp内容/主题/目录中的php文件?还是有人把它放在那里了。或现在我想起来了,可能是我无意中上传了这个文件,然后一个“黑客”或访问该目录的人更改了内容,只包含了那一条评论,希望它能破坏网站。
这不是一个真正的代码问题,但我想得到一些关于这种情况的信息。
最合适的回答,由SO网友:fuxia 整理而成
此文件和中的副本wp-content/plugins/ 是added 2009 即使在服务器允许的情况下也阻止目录浏览。
这并不是一个真正的安全功能,除了模糊性带来的安全感之外,但可能有些文件不是每个人都想看到的,而是由搜索引擎发布或索引的。
更好的解决方案是:关闭目录列表(Apache, nginx, IIS) 并且不允许在您的robots.txt:
User-agent: *
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins
Disallow: /wp-content/themes
