Empêcher l'accès ou supprimer automatiquement readme.html, license.txt, wp-config-sample.php

Juste une question rapide qui pourrait aider un peu avec la sécurité. J'ai remarqué que le fichier readme.html a le numéro de version répertorié. Il réapparaît après chaque mise à niveau, tout comme le fichier licence.txt et wp-config-sample.php.

Existe-t-il un moyen simple pour que WordPress supprime automatiquement ces fichiers après une mise à niveau?

Je bloque déjà le numéro de version de l'affichage dans les balises META, les flux rss, atom, etc.

Je sais que ce type de sécurité est pas exactement ce que beaucoup utile, mais juste pensé qu'il pourrait être un tout petit début. J'ai entendu dire que les gens pouvaient simplement vérifier la version de jQuery incluse dans WP-includes et faire une référence croisée à la version de WP qui l'a expédiée.

Vous n'avez pas vraiment besoin de supprimer ces fichiers. Il est beaucoup plus facile de simplement bloquer leur accès. Si vous utilisez de jolies URL, vous disposez déjà d'un fichier .htaccess. L'utilisation de .htaccess pour bloquer les fichiers est sécurisée et vous ne devez ajouter une directive qu'une seule fois.

Le blocage des fichiers se fait en ajoutant une directive à .htaccess comme ceci:

    <files filename.file-extension>
         order allow,deny
         deny from all
    </files>

Donc, pour bloquer readme.html, vous procédez comme suit:

    <files readme.html>
         order allow,deny
         deny from all
    </files>

Faites de même avec le fichier de licence ou tout autre fichier auquel vous souhaitez empêcher quiconque d'accéder. Ouvrez simplement .htaccess dans le Bloc-notes ou tout autre éditeur de texte de base, ajoutez les directives et enregistrez, en vous assurant que l'éditeur de texte conserve le nom de fichier exactement - sans aucun .txt à la fin.

Voici mon point de vue:

RewriteRule (?:readme|license|changelog|-config|-sample)\.(?:php|md|txt|html?) - [R=404,NC,L]

• 404 (non existant) plutôt que 403 (interdit) pour éviter tout indice sur l'existence.
• également dans les sous-dossiers (c'est-à-dire les thèmes et les plugins, qui pourraient offrir des opportunités d'attaque)
• insensible à la casse, flexible pour l'extension, capture également README.html ou license.html (n'hésitez pas à ajouter des suspects typiques comme changelogs | faq | contribuant)

Personnellement, je bloquerais également:

RewriteRule \.(?:psd|log|cmd|exe|bat|c?sh)$ - [NC,F]

nb:

• '?:' déclare simplement que la parenthèse ne correspond pas (aucune importance).
• nécessite que RewriteEngine soit on(c'est très probablement. il serait rare, d'utiliser wordpress sans ... (permaliens laids, etc ...)).
• insérer avant la # BEGIN WordPresssection dans votre .htaccess

add_action('core_upgrade_preamble','my_function_to_delete_files');

Edit: vous pouvez également les essayer

add_action('upgrader_pre_install','my_function_to_delete_files');
add_action('upgrader_post_install','my_function_to_delete_files');