我应该禁用wp-includes的目录列表吗?

时间:2021-05-05 作者:addirect

出于我自己的好奇心,这更像是一个个人问题。

我的一个网站似乎易受攻击,因为已启用目录列表(/wp includes)。这并不难修复,但我想知道如果没有任何文件可以访问,这到底有多严重?

如果我点击任何文件,包括用户元和函数。php它要么返回HTTP 500,要么只是显示一个空白屏幕。那么,如果没有任何文件可以访问,黑客如何从访问目录中获益呢?

1 个回复
SO网友:Tom J Nowell

不是特别的,尽管我会在你的整个网站上禁用它,如果你有选择的话,作为一般的最佳实践。

在维护良好的WordPress安装中,即使目录列表是隐藏的,该目录的内容也不是秘密。

This is because you should never modify that folder, so it will always match the wp-includes folder in the WordPress download zip.

任何人都可以在Github上查看WordPress并查看列表,或者下载zip,并期望在站点的相同位置找到相同的文件。

当然如果有人改变了wp-includes 文件夹,然后目录列表是您最不应该担心的事情,因为这本身就是一个严重的安全和维护问题。

标签: security   小码农  

相关推荐

wordpress admin security

我用不同的工具扫描我的网站,但它没有显示恶意脚本。但当我在管理仪表板中看到时,我在body标签下面看到了奇怪的方形符号。我试图检查管理索引文件,根索引文件,但什么都没有。有人放了这个脚本。而且,当我试图采取备份它不允许我采取。使用BackupFordPress插件。然而,所有其他的事情都在运行,但在管理方面仍然存在一些问题。如何检测和删除此项。