WordPress 插件文件夹应该包含一个空的 index.php 文件吗？

问题描述

wp-content 文件夹中的 WordPress 本身包含一个空的 PHP 文件，如下所示。

<?php
// Silence is golden.
?>

插件是否包含一个这样的空文件，以及阻止人们观看目录的内容？主题中的其他文件夹如 includes 目录呢？

我要说是的。如果你的邻居更加模糊，那么通过晦涩的安全就可以工作:)(开玩笑但是有一些道理) 。

现实情况是，机器人/扫描仪现在可以直接在 wordpress.org 上编译插件列表，并直接抓取插件 url 的指纹识别版本，并将其保存在数据库中以供参考。

那么你想要哪一个，一个机器人无法收集你的安装信息，或者让它放在插件作者，以确保你的安全。两者都如何。

PS 。在旁注中，去年有来自 wordpress.org 插件的 186 个漏洞利用 (*报告..) 。

不，他们不应该。如果一个插件有漏洞只是因为有人可能看到它的目录结构是坏的。这些 bug 应该是固定的。 Security through obscurity 本身就是一个 bug 。

网站所有者可以允许或禁止目录浏览。

第二个问题是性能：WordPress 扫描插件的根目录中的所有 PHP 文件以找到插件头。这允许您在同一目录下有多个插件，例如/wp-content/plugins/wpse-examples/。

这也意味着当 WordPress 正在搜索插件时，该目录中的未使用的 PHP 文件会浪费时间和内存。一个文件不会有太多的伤害，但是想象这是一个常见的做法。您正在创建一个真正的问题，试图修复一个虚构的。

注：本文内容整合自 Google/Baidu/Bing 辅助翻译的英文资料结果。如果您对结果不满意，可以加入我们改善翻译效果：薇晓朵技术论坛。

正男2014-05-05T14:09:36+08:00发表于：2014-05-05|WordPress|