Intereting Posts
Timber – не отображать короткий код Включаемая функция и проверка активации? изменить функциональный фильтр Как использовать WordPress Color Picker API в пользовательском типе сообщений Metabox Что такое «учетная запись пользователя» для разрешений файлов WordPress? как я могу изменить цикл основных архивов WP для сортировки по имени или заголовку Добавить мета на сообщение, отправленное из формы интерфейса Удаление ссылки по умолчанию Это шпионское ПО на моем сайте или настоящее обновление Java? Установите cookie, чтобы пользователь обнаружил предупреждающий баннер / всплывающее окно только один раз. Подключиться к созданию записи в меню? WordPress admin не меняет язык Обновление до 3.3.2 возвращает пустую страницу администратора Проблемы с добавлением слайдера изображения jQuery Захват WordPress перед новой пользовательской загрузкой типа сообщения

Полное раскрытие пути по rss-functions.php

Я проверил некоторые тесты безопасности в своих приложениях WordPress и заметил, что все они имеют полное раскрытие пути по следующему URL-адресу. Я уверен, что на это был дан ответ, но я не могу найти никакой информации об этом.

https://mydomains.com/wp-includes/rss-functions.php

Сообщение об ошибке при переходе к ссылке – это вызов неопределенной функции _deprecated_file () в /home/mydomain/public_html/wp-includes/rss-functions.php в строке 8

У меня нет никаких вещей в моих темах для RSS.

Изменить: после дальнейших исследований это, по-видимому, является общей проблемой на большинстве сайтов WordPress. Решения, которые я нашел в Интернете, на самом деле не исправляют ошибку. Они просто говорят, чтобы скрыть отчет об ошибках в php.ini. Это не исправляет это, хотя и не у всех есть доступ к php.ini в зависимости от их ситуации размещения.

Solutions Collecting From Web of "Полное раскрытие пути по rss-functions.php"

Файлы PHP в каталоге wp-include не должны быть доступны снаружи, их следует включать только в код WordPress. Поэтому легко исправить это, чтобы использовать правила .htaccess для блокировки доступа к * .php-файлам, находящимся в каталоге wp-includes

Это практически единственный вариант – отключить ведение журнала ошибок / ошибок php. Есть два варианта сделать это, а другой – не очень хорошо:

  • php.ini – на большинстве хостинга вы можете изменить php.ini (даже в режиме общего хостинга) – .htaccess
  • непосредственно в php-файлах (не рекомендуется)

http://phphtml.info/how-to-fix-wordpress-internal-pathfull-path-disclosurefpd-issue/

Теоретически то, что я собираюсь рассказать вам, опасно и, вероятно, не должно быть сделано, если вы делаете «правильный способ WordPress».

Практически это работает для нашей производственной среды.

Файл rss-functions.php устарел и перенаправляется на rss.php .

Файл rss.php устарел с версии v.0.0.0, и внутренние комментарии рекомендуют использовать SimplePie.

Таким образом, файл rss-functions.php можно безопасно удалить, если у вас нет старой устаревшей установки, и если у вас нет плагинов, которые зависят от этого файла.

Альтернативно, прокомментируйте строку 8 в этом файле.


С точки зрения безопасности вы также должны определенно реализовать предложение @ MarkKaplun выше, поскольку этот файл не предназначен для непосредственного использования браузером.


Кстати, я согласен с вами в том, что разглашение полного пути – это риск для безопасности; По этой причине мы сохраняем WEBROOT по специальному пути.