Побочные эффекты запрета * .php запросов в производственной среде?

Для обеспечения безопасности в рабочей среде компания, с которой я работаю, удалила весь каталог wp-admin/ и собирается запретить все вызовы *.php файлов с 403 Forbidden ошибкой 403 Forbidden HTTP.

Есть ли подводные камни для этого? (За исключением очевидной вещи, которая теперь позволяет администрировать или использовать другие функциональные возможности).

Существуют ли какие-либо подсистемы на бэкэнд, которые я должен заботиться о том, чтобы не работать правильно, если это на месте?

(Обновления содержимого выполняются в защищенной области, а процесс нажатия на воспроизведение реплицирует файлы базы данных и WP, кроме файлов wp-admin/* .).

Благодаря!

Solutions Collecting From Web of "Побочные эффекты запрета * .php запросов в производственной среде?"

Мое понимание: они собираются запретить доступ * .php из внешних HTTP-запросов.

Это не должно вызывать проблемы. Это обычная мера безопасности, которая запрещает доступ к расширению, и если вы используете настраиваемые структуры постоянной ссылки, вы можете обойти большинство потребностей.

Так как довольно много ваших взаимодействий с WordPress будет в области администрирования, вы не должны сталкиваться с какими-либо проблемами с основными функциями, так как вы изолированы в другом месте.

НО, любые плагины и темы, которые сделали предположение, что они смогут вызвать AJAX через URL * .php или POST / GET из такого URL-адреса, могут нарушиться. Поэтому использование расширений может сосать.

Возможно, вам потребуется больше времени на просмотр плагинов и тем, прежде чем говорить «это будет просто работать». Делая это, вы создадите больше работы для себя в долгосрочной перспективе для обеспечения безопасности.


Чтобы быть уверенным, я бы установил установку WordPress по умолчанию, а затем установил пользовательские постоянные ссылки … затем оставьте это немного и просмотрите журналы доступа.

Вы можете легко увидеть, сколько хитов будет разбито, потому что они напрямую попадают в расширения * .php.

Более плавный способ сделать это … может быть просто 301 человек для mysite.com/whatevertheyweretryingtogetto.php -> mysite.com/whatevertheyweretryingtogetto

Просто отруби.

Как я уже сказал в своем комментарии, я не специалист по безопасности. Но я работал в крупных фирмах, у которых была хорошая безопасность.

Вот несколько вещей, которые следует учитывать:

  • Следуйте некоторым из более стандартных мер безопасности WP.
  • Переименовать / wp-admin
  • Перенос базы данных на сервер за брандмауэром
  • Рассмотрите возможность использования сервера PROXY
  • И если это так, как утверждает Стерлинг, общая мера безопасности, запретите доступ к расширению