D’un point de vue rentabilité énergétique, impact environnemental, c’est une catastrophe.
Conceptuellement, c’est une construction très élégante.
Ceux qui n’y voient qu’une monnaie ou qu’une bulle spéculative regardent du mauvais coté.
L’implosion de Mt. Gox va peut être aider le BTC à grandir, finalement.

Pour le comportement coté admin, ça fait bien ce que tu décris, sans différence dans les entêtes, sans redirection.

Tu as testé la solution ?

Coté sécurité, je note sur mon échantillon de blogs (je ne parle pas de celui ci, très très mauvais exemple de sécurité) , des tentatives de plus en plus fréquentes et agressives de hacking.
Je vois de plus en plus passer des sites FR, notamment des institutions connues, qui se sont fait défoncer et arrosent le web de pillules bleues, sans que les admins ou les prestataires s’en soient rendus compte.

Donc par défaut, quand une manip simple permet de fermer des portes, je ne me prive pas.
Ca ne profitera qu’à ceux qui ont une approche pro-active de la sécu de leur site, mais c’est déjà ça.

Je ne suis pas sur non plus que ce soit mega utile de cacher de cette façon, mais comme je dis, pour le défi je suis curieux de voir les efforts et la solution

ça précise le contexte ?

Ca précise en effet, merci.

Je n’avais pas pensé au black hat, et c’est vrai que je m’en fous un peu que les plugins que j’utilise soient publics. Au contraire, j’utilisais meme ce plugin pour afficher tous mes plugins actifs à une époque. Après, je ne suis qu’un blogueur de base donc je n’ai pas vraiment beaucoup de plugins sur mon site…

Si le plugin n’a pas de raison d’être accessible depuis l’extérieur, pourquoi prendre le risque ?
Tout plugin est potentiellement faillible.
Donc qu’il y ait ou pas de la biere au frigo, je ferme la porte, je dors mieux.

Oui, je pense que tu passes à coté du truc.

Je commence par la fin:

« garder les secrets »: je ne parle pas forcément de plugins « secrets », mais du fait que l’utilisation de ce plugin sur mon blog ne regarde que moi, voir est dangereuse si on sait que j’utilise ça.
Hypothèse: Je suis un méchant black hat, je fais un site MFA avec un plugin connu de génération automatique de contenu. Google n’aime pas (à raison). Le plugin n’a aucun besoin d’être accessible ou visible par un visiteur ou un crawler.
Par défaut, il l’est forcément, et ça fait mal.

Même sans avoir rien à se reprocher: J’utilise akismet, j’ai laissé Hello dolly, je mets wordpress seo, un backup de db par défaut avec quelques autres plugins.
Quel est l’intérêt de laisser cette info publique ? Ce que j’installe comme plugin admin ne devrait regarder que moi.
C’est ça aussi, mes petits secrets !

Coté sécurité: il ne s’agit pas, justement, de sécurité par l’obscurité.
Cette technique s’applique aux plugins qui n’ont pas d’interaction http avec le visiteur. Au mieux, ils servent coté admin.
Par défaut, tous les fichiers du plugin, yc les librairies, sont exposés et peuvent servir de point d’entrée, ou de déni de service.
Bien sur, un plugin « parfait » sur un serveur « parfait » n’a idéalement pas de prise. mais un plugin parfait ça n’existe pas vraiment.
En tout cas, on ne peut jamais être certain que tous les plugins qu’on utilise sont en tout temps parfaits.

Avec cette manip, non seulement le plugin est invisible, mais aucun fichier php, librairie, js… ne peut être appelé depuis l’extérieur.
Ce n’est pas juste cacher la misère sous le tapis, c’est l’empêcher de voir le jour. (404 systématique)

Les scanners de faille dont tu parles scannent des urls potentiellement vulnérables, effectivement sans vérifier si le répertoire du dessus existe.
Peu importe. Ici, l’url vulnérable comme l’url du dossier renvoient une 404 sans exécuter une seule ligne de php.

ça précise le contexte ?