July 6, 2007
WordPress的目录安全吗
Andor在他的文章中指出, 在搜索引擎中搜索关键字”Index of /wp-content/plugins”, 得到的结果将是大堆的WordPress插件目录.我试了下, 果然, 在Google.com搜索得到了约569,000条记录(图附在后面). 大站的小站的, 各式各样主机上的, 应有尽有. 更有趣的是, 随意点击一条记录, 该站安装的插件列表就出来了.
原来我并没有太在意搜索引擎对插件目录的抓取, 有一次在Google Webmasters的抓取错误记录中发现有一条是在插件目录中, 仅仅出于避免再次发生类似的抓取错误, 干脆在robots.txt中加入了插件目录的Disallow, 禁掉了所有机器人的抓取, 不用再担心出现在搜索结果中了. 不过, 仅仅禁止搜索引擎抓取, 当在浏览器中输入插件目录地址后, 仍然可以访问到目录中的内容. 解决的方法可以通过设置主机目录访问权限来禁止非法访问, 也可以在目录下放入一个空白的或自己写的index.php或index.html. 可能存在此类问题的目录还有很多, themes目录, wp-admin下面的子目录等等.
话说回来, 难道是WordPress团队忘了在这些目录下放index.php吗?
fisio at 13:28 Jul 06, 2007 ₪
这个的确和安全有莫大关联啊
另:冰仔也用 Google Icons 扩展或者脚本的哟! 哈哈
北极冰仔 at 14:07 Jul 06, 2007 ₪
用的是扩展 ^_^
禅猫 at 00:44 Jan 18, 2008 ₪
哈哈这个俺早想到了。。。手动 每个目录添加INDEX.HTML。。。哎!
北极冰仔 at 08:54 Jan 18, 2008 ₪
可以用 .htaccess 禁止访问空目录的。