Pour le comportement coté admin, ça fait bien ce que tu décris, sans différence dans les entêtes, sans redirection.

Tu as testé la solution ?

Coté sécurité, je note sur mon échantillon de blogs (je ne parle pas de celui ci, très très mauvais exemple de sécurité) , des tentatives de plus en plus fréquentes et agressives de hacking.
Je vois de plus en plus passer des sites FR, notamment des institutions connues, qui se sont fait défoncer et arrosent le web de pillules bleues, sans que les admins ou les prestataires s’en soient rendus compte.

Donc par défaut, quand une manip simple permet de fermer des portes, je ne me prive pas.
Ca ne profitera qu’à ceux qui ont une approche pro-active de la sécu de leur site, mais c’est déjà ça.

Je ne suis pas sur non plus que ce soit mega utile de cacher de cette façon, mais comme je dis, pour le défi je suis curieux de voir les efforts et la solution

ça précise le contexte ?

Ca précise en effet, merci.

Je n’avais pas pensé au black hat, et c’est vrai que je m’en fous un peu que les plugins que j’utilise soient publics. Au contraire, j’utilisais meme ce plugin pour afficher tous mes plugins actifs à une époque. Après, je ne suis qu’un blogueur de base donc je n’ai pas vraiment beaucoup de plugins sur mon site…

Si le plugin n’a pas de raison d’être accessible depuis l’extérieur, pourquoi prendre le risque ?
Tout plugin est potentiellement faillible.
Donc qu’il y ait ou pas de la biere au frigo, je ferme la porte, je dors mieux.

Oui, je pense que tu passes à coté du truc.

Je commence par la fin:

« garder les secrets »: je ne parle pas forcément de plugins « secrets », mais du fait que l’utilisation de ce plugin sur mon blog ne regarde que moi, voir est dangereuse si on sait que j’utilise ça.
Hypothèse: Je suis un méchant black hat, je fais un site MFA avec un plugin connu de génération automatique de contenu. Google n’aime pas (à raison). Le plugin n’a aucun besoin d’être accessible ou visible par un visiteur ou un crawler.
Par défaut, il l’est forcément, et ça fait mal.

Même sans avoir rien à se reprocher: J’utilise akismet, j’ai laissé Hello dolly, je mets wordpress seo, un backup de db par défaut avec quelques autres plugins.
Quel est l’intérêt de laisser cette info publique ? Ce que j’installe comme plugin admin ne devrait regarder que moi.
C’est ça aussi, mes petits secrets !

Coté sécurité: il ne s’agit pas, justement, de sécurité par l’obscurité.
Cette technique s’applique aux plugins qui n’ont pas d’interaction http avec le visiteur. Au mieux, ils servent coté admin.
Par défaut, tous les fichiers du plugin, yc les librairies, sont exposés et peuvent servir de point d’entrée, ou de déni de service.
Bien sur, un plugin « parfait » sur un serveur « parfait » n’a idéalement pas de prise. mais un plugin parfait ça n’existe pas vraiment.
En tout cas, on ne peut jamais être certain que tous les plugins qu’on utilise sont en tout temps parfaits.

Avec cette manip, non seulement le plugin est invisible, mais aucun fichier php, librairie, js… ne peut être appelé depuis l’extérieur.
Ce n’est pas juste cacher la misère sous le tapis, c’est l’empêcher de voir le jour. (404 systématique)

Les scanners de faille dont tu parles scannent des urls potentiellement vulnérables, effectivement sans vérifier si le répertoire du dessus existe.
Peu importe. Ici, l’url vulnérable comme l’url du dossier renvoient une 404 sans exécuter une seule ligne de php.

ça précise le contexte ?

Niveau sécurité, la « sécurité par obscurité » n’est pas vraiment le meilleur moyen de protéger un système.
Après tout, si une extension populaire a un problème de sécurité, des hackers essaieront de mettre en place des bots qui vont essayer d’attaquer un max de sites, sans vraiment regarder si chaque site utilise le plugin avant de lancer l’attaque.
On l’a vu avec timthumb.php il y a quelques années. Des mois après que le problème ait été réglé, je voyais encore des bots sur certains de mes sites, alors que je n’utilisais pas timthumb.php.

Au lieu de masquer un plugin parce qu’il n’est pas secure, ne vaudrait-il pas mieux changer de plugin ?

Bon par contre tu mentionnes que tu souhaiterais « garder tes petits secrets ». Bon comme je ne suis pas SEO, je ne sais pas du tout de quoi tu parles Mais j’imagine que si un plugin est sur le repo ou dispo au téléchargement sur certains sites SEO, il n’est pas vraiment secret. Et si c’est un plugin maison, tu n’as pas forcément besoin de créer un readme ?
Je rate quelque chose ?

S’il y a un intérêt palpable, le plugin « clé en main » verra le jour.
Sans tout résoudre bien sur, la sécurité c’est une histoire que ne se termine jamais.