Publicznie dostępny plik readme.html

Co to oznacza

Jeśli plik readme.html w katalogu głównym Twojej strony WordPress jest dostępny z poziomu przeglądarki, ujawnia informacje o wersji WordPressa. Sprawdź to wpisując twojastrona.pl/readme.html — jeśli zobaczysz stronę z logo WordPress i numerem wersji, plik jest publiczny. Jest on dołączany do każdej instalacji WordPress i zawiera informacje o wersji, linki do dokumentacji oraz ogólny opis systemu.

Analogicznie, plik license.txt może również być publicznie dostępny — nie stanowi bezpośredniego zagrożenia, ale ujawnia, że strona działa na WordPress.

Jakie jest ryzyko

Ujawnienie wersji WordPress — plik readme.html wyświetla dokładny numer wersji. Atakujący może porównać go z bazą CVE i celować w znane podatności dla tej konkretnej wersji.
Fingerprinting — nawet jeśli usuniesz meta tag generator z kodu strony, readme.html nadal ujawnia platformę i wersję.
Automatyczne skanowanie — narzędzia takie jak WPScan automatycznie sprawdzają obecność readme.html jako jeden z pierwszych kroków rozpoznania.

Ryzyko jest stosunkowo niskie (informacyjne), ale eliminacja go jest trywialna i wpisuje się w zasadę minimalizacji ujawnianych informacji.

Jak to naprawić

Zablokuj dostęp na poziomie serwera — nie usuwaj pliku (WordPress odtworzy go przy aktualizacji), zablokuj dostęp:

# .htaccess (Apache)
<Files readme.html>
    Order Deny,Allow
    Deny from all
</Files>
<Files license.txt>
    Order Deny,Allow
    Deny from all
</Files>

Nginx:

location ~* ^/(readme\.html|license\.txt)$ {
    deny all;
    return 404;
}

Alternatywnie — usuń ręcznie — pamiętaj jednak, że pliki wrócą po każdej aktualizacji WordPress. Blokada na serwerze jest trwalsza.

Publicznie dostępny plik readme.html

Publicznie dostępny plik readme.html

Co to oznacza

Jakie jest ryzyko

Jak to naprawić

Nie chcesz sprawdzać tego ręcznie?