WordPress 插件文件夾應該包含一個空的 index.php 文件嗎？

問題描述

wp-content 文件夾中的 WordPress 本身包含一個空的 PHP 文件，如下所示。

<?php
// Silence is golden.
?>

插件是否包含一個這樣的空文件，以及阻止人們觀看目錄的內容？主題中的其他文件夾如 includes 目錄呢？

我要説是的。如果你的鄰居更加模糊，那麼通過晦澀的安全就可以工作:)(開玩笑但是有一些道理) 。

現實情況是，機器人/掃描儀現在可以直接在 wordpress.org 上編譯插件列表，並直接抓取插件 url 的指紋識別版本，並將其保存在數據庫中以供參考。

那麼你想要哪一個，一個機器人無法收集你的安裝信息，或者讓它放在插件作者，以確保你的安全。兩者都如何。

PS 。在旁註中，去年有來自 wordpress.org 插件的 186 個漏洞利用 (*報告..) 。

不，他們不應該。如果一個插件有漏洞只是因為有人可能看到它的目錄結構是壞的。這些 bug 應該是固定的。 Security through obscurity 本身就是一個 bug 。

網站所有者可以允許或禁止目錄瀏覽。

第二個問題是性能：WordPress 掃描插件的根目錄中的所有 PHP 文件以找到插件頭。這允許您在同一目錄下有多個插件，例如/wp-content/plugins/wpse-examples/。

這也意味着當 WordPress 正在搜索插件時，該目錄中的未使用的 PHP 文件會浪費時間和內存。一個文件不會有太多的傷害，但是想象這是一個常見的做法。您正在創建一個真正的問題，試圖修復一個虛構的。

注：本文內容整合自 Google/Baidu/Bing 輔助翻譯的英文資料結果。如果您對結果不滿意，可以加入我們改善翻譯效果：薇曉朵技術論壇。

正男2014-05-05T14:09:36+08:00發表於：2014-05-05|WordPress|