Форум Сайтостроение Веб-строительство

Стоит ли защищать простой плагин WordPress от прямого вызова – accessed directly?

12
Dmitriy_2014
На сайте с 01.07.2014
Offline
344
Dmitriy_2014
391

Всем привет!

Стоит ли кастомному мини плагину, делать защиту в виде запрета от так называемого прямого вызова скрипта? 

if ( ! defined( 'ABSPATH' ) ) {

               exit; // Exit if accessed directly.

}

Если плагин не имеет дела с файловой системой и т.п. функциями I/O, а чисто так отобразить что-нибудь где-нибудь.

П.С.

Заранее всем спасибо за ответы!

Если кто знает напишите поподробней об этом прямом вызове, это типа через ссылку в браузере до php файла, или нужно иметь локальный доступ к системе и через интерпретатор как-то вызывать скрипт, я честно сказать плохо понимаю для чего это и как, часто вижу почти во всех плагинах в начале перед всем кодом.


W1
На сайте с 22.01.2021
Offline
306
webinfo
#1
Да.
Мой форум - https://webinfo.guru –Там я всегда на связи
LEOnidUKG
На сайте с 25.11.2006
Offline
1762
LEOnidUKG
#2

Да, стоит. Если он не будет запускаться, значит не нужен доступ прямой к нему.

Кстати, woocommerce пишет короче:

defined( 'ABSPATH' ) || exit;

Прикольный код.
✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/
Dmitriy_2014
На сайте с 01.07.2014
Offline
344
Dmitriy_2014
#3

Даже если это мой самописный самому для себя супер-мега мини плагин который всего лишь при активации выводит в футере: 

get_num_queries () – Количество запросов к базе данных.

timer_stop () – Время выполнения скрипта.

round (memory_get_usage ()/1024/1024, 2) – Используемая память скрипта.
Он по сути ничего не делает и использует функции WordPress’а.
Количество просмотров записей Как вывести текст только Сайт на разных языках
SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#4

Мне это напоминает очередную серию вопросов типа "надо ли мне одевать трусы, если я не собираюсь срать."

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
Dmitriy_2014
На сайте с 01.07.2014
Offline
344
Dmitriy_2014
#5
SeVlad #:

Мне это напоминает очередную серию вопросов типа "надо ли мне одевать трусы, если я не собираюсь срать."

Я думаю нет, а смысл :-), но тут то речь о безопасности, ну я понимаю, что в больших и сложных плагинах, да хорошо, возможно это важно, хотя толком точно никто и не знает, но тут то для вывода пару цифр.
Имя страницы имеет значение? Матрикснет. Всё таки тИЦ Посоветуйте банк на Украине
W1
На сайте с 22.01.2021
Offline
306
webinfo
#6
Dmitriy_2014 #:
Он по сути ничего не делает и использует функции WordPress’а.

И что будет с запросами к этим функциям при прямом запросе к файлу? Сами догадаетесь?

Dmitriy_2014
На сайте с 01.07.2014
Offline
344
Dmitriy_2014
#7
webinfo #:

И что будет с запросами к этим функциям при прямом запросе к файлу? Сами догадаетесь?

Я попробую, но честно говоря я не знаю, что будет, хакер увидит то ли ошибку, то ли ничего не увидит и это как-то поможет ему?

А так если имеется ввиду запрос через браузер то ошибку: 

Fatal error: Uncaught Error: Call to undefined function…
Это если ошибки выводятся.
W1
На сайте с 22.01.2021
Offline
306
webinfo
#8
Dmitriy_2014 #:
это как-то поможет ему?

Это называется "уязвимость раскрытия пути". Поможет.

Dmitriy_2014
На сайте с 01.07.2014
Offline
344
Dmitriy_2014
#9
webinfo #:

Это называется "уязвимость раскрытия пути". Поможет.

Вы имеете ввиду путь от корня в файловой системе на сервере до php файла при выводе ошибки?
W1
На сайте с 22.01.2021
Offline
306
webinfo
#10
Естественно.
12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий