Intereting Posts
Вставка мультимедиа в WordPress Пользовательский префикс идентификатора метаданных, отображающий первую категорию, но не другие Запретить отображение биографической страницы автора в результатах поиска перенаправить wp-login.php на другую страницу Как проверить, зарегистрирован ли пользователь (не текущий пользователь)? flush_rewrite_rules не работает над отключением плагина, неверные URL-адреса, не отображающие 404 Работа с Visual Composer VC_Single_Image Отправка информации о сообщении на сайт для холодного взлома. Дополнительный текст в URL-адресе Получение пользователей, зарегистрировавших 360 дней с текущей даты Возвращает количество элементов в таблице с идентификатором сообщения URL для отправки Meta Как разделить сеанс WordPress и файлы cookie между доменом и субдоменом? Как настроить wp-signup.php для многопользовательской сети? Пользовательский шаблон WordPress: wp_redirect () не работает в шаблоне

Полное раскрытие пути по rss-functions.php

Я проверил некоторые тесты безопасности в своих приложениях WordPress и заметил, что все они имеют полное раскрытие пути по следующему URL-адресу. Я уверен, что на это был дан ответ, но я не могу найти никакой информации об этом.

https://mydomains.com/wp-includes/rss-functions.php

Сообщение об ошибке при переходе к ссылке – это вызов неопределенной функции _deprecated_file () в /home/mydomain/public_html/wp-includes/rss-functions.php в строке 8

У меня нет никаких вещей в моих темах для RSS.

Изменить: после дальнейших исследований это, по-видимому, является общей проблемой на большинстве сайтов WordPress. Решения, которые я нашел в Интернете, на самом деле не исправляют ошибку. Они просто говорят, чтобы скрыть отчет об ошибках в php.ini. Это не исправляет это, хотя и не у всех есть доступ к php.ini в зависимости от их ситуации размещения.

Solutions Collecting From Web of "Полное раскрытие пути по rss-functions.php"

Файлы PHP в каталоге wp-include не должны быть доступны снаружи, их следует включать только в код WordPress. Поэтому легко исправить это, чтобы использовать правила .htaccess для блокировки доступа к * .php-файлам, находящимся в каталоге wp-includes

Это практически единственный вариант – отключить ведение журнала ошибок / ошибок php. Есть два варианта сделать это, а другой – не очень хорошо:

  • php.ini – на большинстве хостинга вы можете изменить php.ini (даже в режиме общего хостинга) – .htaccess
  • непосредственно в php-файлах (не рекомендуется)

http://phphtml.info/how-to-fix-wordpress-internal-pathfull-path-disclosurefpd-issue/

Теоретически то, что я собираюсь рассказать вам, опасно и, вероятно, не должно быть сделано, если вы делаете «правильный способ WordPress».

Практически это работает для нашей производственной среды.

Файл rss-functions.php устарел и перенаправляется на rss.php .

Файл rss.php устарел с версии v.0.0.0, и внутренние комментарии рекомендуют использовать SimplePie.

Таким образом, файл rss-functions.php можно безопасно удалить, если у вас нет старой устаревшей установки, и если у вас нет плагинов, которые зависят от этого файла.

Альтернативно, прокомментируйте строку 8 в этом файле.


С точки зрения безопасности вы также должны определенно реализовать предложение @ MarkKaplun выше, поскольку этот файл не предназначен для непосредственного использования браузером.


Кстати, я согласен с вами в том, что разглашение полного пути – это риск для безопасности; По этой причине мы сохраняем WEBROOT по специальному пути.