플러그인 폴더에 빈 index.php 파일이 포함되어야합니까?

wp-content폴더 에있는 WordPress 자체 는 다음과 같은 빈 PHP 파일을 포함합니다.

<?php
// Silence is golden.
?>

사람들이 디렉토리의 내용을 볼 수 없도록 플러그인에 이와 같은 빈 파일이 포함되어야합니까? includes디렉토리 와 같은 테마의 추가 폴더는 어떻습니까?

아닙니다. 플러그인에 취약점이있는 경우 누군가 디렉토리 구조를 볼 수 있기 때문에 플러그인이 손상되었습니다. 이 버그는 수정해야합니다.
모호성을 통한 보안 은 그 자체로 버그입니다.

디렉토리 탐색을 허용하거나 금지하는 것은 사이트 소유자의 책임입니다.

두 번째 문제는 성능입니다. WordPress 는 플러그인의 루트 디렉토리에있는 모든 PHP 파일을 스캔 하여 플러그인 헤더를 찾습니다. 이를 통해 동일한 디렉토리에 여러 개의 플러그인을 가질 수 있습니다 (예 :) /wp-content/plugins/wpse-examples/.

또한 WordPress에서 플러그인을 검색 할 때 해당 디렉토리에서 사용하지 않는 PHP 파일이 시간과 메모리를 낭비하고 있음을 의미합니다. 하나의 파일은 크게 해를 끼치 지 않지만 이것이 일반적인 방법을 취하고 있다고 상상하십시오. 허구를 고치려고 시도 할 때 실제 문제가 발생합니다.

나는 YES라고 말할 것입니다. 모호함을 통한 보안은 이웃보다 더 모호한 경우 작동합니다 :) (농담이지만 ​​그에 대한 진실이 있습니다).

현실은 봇 / 스캐너가 플러그인 목록을 wordpress.org에서 바로 컴파일하고 플러그인 URL을 알려진 익스플로잇에 대한 핑거 프린팅 버전으로 크롤링하고 참조를 위해 데이터베이스에 정보를 보관하는 것입니다.

봇은 설치시 정보를 수집 할 수 없거나 플러그인 작성자에게 맡겨 안전하게 보호 할 수 있습니다. 둘 다 어때?

추신. 참고로 작년에 wordpress.org 플러그인에서 186 건의 악용 사례가보고되었습니다 (* reported ..).

워드 프레스 코어가이 기능을 수행하기 때문에 플러그인이 적합한 것으로 간주됩니다. 이 모든 것을 다양한 서버 설정으로 보호 할 수는 있지만 기본값 (아마도 WordPress 코어가 수행하는 이유)을 가지지 않아도됩니다.

fuxia가 지적했듯이 .phpWordPress에서 플러그인을 검색하기 위해 추가 파일을 사용 하면 성능이 저하 됩니다. 은 index.html아마 더 좋은 옵션이 될 것입니다. 물론 가장 좋은 방법은 웹 서버를 통한 디렉토리 탐색을 금지하는 것입니다.

또한, 모호함을 통한 보안은 좋지 않습니다.