アクセスを禁止するか、readme.html、license.txt、wp-config-sample.phpを自動削除します

セキュリティに関して少しだけ役立つかもしれない簡単な質問です。readme.htmlファイルにリストされているバージョン番号があることに気付きました。各アップグレード後に再表示されるため、licence.txtおよびwp-config-sample.phpも同様です。

アップグレード後にWordPressでこれらのファイルを自動的に削除する簡単な方法はありますか？

メタタグ、RSSフィード、Atomなどにバージョン番号が表示されないように既にブロックしています。

この種のセキュリティはそれほど有用ではないことは知っていますが、それはほんの小さな始まりに過ぎないと考えました。WP-includesに含まれているjQueryのバージョンを簡単に確認でき、どのバージョンのWPがそれを出荷したかを相互参照できると聞きました。

これらのファイルを削除する必要はありません。それらへのアクセスをブロックする方がはるかに簡単です。きれいなURLを使用している場合は、すでに.htaccessファイルがあります。.htaccessを使用してファイルをブロックすることは安全であり、ディレクティブを1回追加するだけで済みます。

ファイルをブロックするには、次のように.htaccessにディレクティブを追加します。

    <files filename.file-extension>
         order allow,deny
         deny from all
    </files>

したがって、readme.htmlをブロックするには、次のようにします。

    <files readme.html>
         order allow,deny
         deny from all
    </files>

ライセンスファイルや、他のユーザーがアクセスできないようにする他のファイルについても同じことを行います。メモ帳または他の基本的なテキストエディターで.htaccessを開き、ディレクティブを追加して保存し、テキストエディターがファイル名を正確に保持していることを確認します-末尾に.txtはありません。

私の見解は次のとおりです。

RewriteRule (?:readme|license|changelog|-config|-sample)\.(?:php|md|txt|html?) - [R=404,NC,L]

• 存在についての手がかりを避けるため、403（禁止）ではなく404（存在しない）。
• また、サブフォルダー（つまり、攻撃の機会を提供する可能性のあるテーマとプラグイン）
• 大文字と小文字を区別せず、拡張子に柔軟性があり、README.htmlまたはlicense.htmlもキャッチします（changelogs | faq | contributingなどの典型的な容疑者を追加してください）

個人的に、私もブロックします：

RewriteRule \.(?:psd|log|cmd|exe|bat|c?sh)$ - [NC,F]

nb：

• '？：'は、ブラケットが一致しないことを宣言するだけです（重要ではありません）。
• RewriteEngineが必要ですon（ほとんどの場合、まれに、ワードプレスを使用せずに...（ugいパーマリンクなど））。
• .htaccess のセクションの前に挿入# BEGIN WordPressします

add_action('core_upgrade_preamble','my_function_to_delete_files');

編集：これらを試すこともできます

add_action('upgrader_pre_install','my_function_to_delete_files');
add_action('upgrader_post_install','my_function_to_delete_files');