将php放在/wp-content/ploads目录中不安全吗?

时间:2021-03-17 作者:Diego

这个问题很直截了当,但我会提供所需的任何澄清。

我这样问的原因是:我创建了一个儿童主题custom-functions.php 文件这允许开发人员在不编辑子主题的情况下自定义站点。我知道这就是儿童主题的目的,但为了简洁起见,我不会深入探讨所有这些背后的原因。

我把custom-functions.php 在里面/wp-content/uploads/customizations. 这是安全风险吗?如果是这样的话,还有什么更好的地方可以放呢。我不想把它放在我的子主题中,因为当主题更新时,它会被覆盖。

1 个回复
最合适的回答,由SO网友:Tom J Nowell 整理而成

Yes it is unsafe, 虽然不是因为你想的原因DO NOT DO THIS.

如果您的开发人员可以将一个PHP文件上载到您的站点并执行该文件,那么该PHP文件可以撤消您设置的所有其他安全措施。文件的位置无关紧要。从功能上来说,直接编辑插件没有什么区别。

此外,一个常见的安全增强是防止在uploads文件夹中执行PHP,并假设uploads文件夹中的任何PHP都是恶意的。

无论是哪种方式,您提议的开发过程都是非常不寻常且有问题的。I strongly advise against this. 将上载的文件移动到其他文件夹不会提高安全性。

不要让开发人员将PHP上传到uploads文件夹。这不是一个好主意。

标签: php   uploads   security   小码农  

相关推荐

“Dashboard”-命名的PHP文件不包括在内

我做了一个简单的;测试插件演示问题:my-test-plugin/ ├─ includes/ │ └─ dashboard.php └─ main.php <?php // dashboard.php echo \'<h1>Dashboard</h1>\'; <?php // main.php /** * Plugin Name: My Test Plugin */ add_actio