您当前的位置:首页 > TAG信息列表 > security

  • 保护直接访问PDF和ZIP,除非用户登录(无插件)

    时间:2017-09-29

    在WordPress支持网站上工作,该网站只注册了用户内容,包括上传的PDF和ZIP文件。我正在寻找一种方法来防止不使用插件直接访问wp content/uploads目录中的PDF和ZIP文件。通读以前的问题,这真的很接近(但评论已关闭):https://wordpress.stackexchange.com/a/37743/18608 当它检测到对文件的直接访问时,会进行一些登录以保存请求的文件,并检查用户是否已登录。如果没有,他们将被重定向到WordPress登录。如果他们已登录,则会加载文件。这是

  • 如何对抗泛滥admin-ajax.php?

    时间:2017-09-24

    我发现许多来自俄罗斯的针对文件管理ajax的请求。php,我的服务器现在不工作。我确信这些流量不是来自普通用户,而是来自机器人。如何避免处理这些查询以节省资源?5.188.203.23 - - [24/Sep/2017:02:18:36 +0200] \"POST /wp-admin/admin-ajax.php HTTP/1.1\" 200 1 \"-\" \"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit/537.36 (KHTM

  • 我什么时候必须使用和验证随机数?

    时间:2017-09-18

    我正在开发一个WordPress站点,它发布了许多从jquery到PHP的ajax调用,并将数据从PHP返回到jquery。我需要知道何时必须使用和验证nonce?

  • 我们如何处理带有漏洞的未维护插件?

    时间:2017-09-11

    我发现这是一个大问题,不仅与Wordpress有关,而且与任何其他第三方插件、插件失去了原作者支持的软件有关。但让我们关注Wordpress。。。根据WordFence,有:17,383 of those plugins have not been updated in the past 2 years. 3,990 plugins have not been updated since 2010 which is over 7 years ago.根据Isabel的帖子,有几个插件的安

  • 我如何才能授予某人仅复制和修改站点的服务器访问权限?

    时间:2017-09-07

    我有一个运行多个WordPress实例的ab Ubuntu服务器。我想让某人访问服务器,并允许他们(1)复制现有站点,(2)修改它,以及(3)部署它。但是,我想限制他们的访问权限,这样他们就不能(1)修改现有站点,(2)查看现有WordPress站点的任何访问密码或机密,(3)查看服务器上其他任何内容的任何访问密码,也不能(4)故意或意外地破坏任何服务器设置。是否有办法实现上述受限访问?如果有,我该如何实现?

  • 当我的插件有安全更新时,推荐的通知方式是什么?

    时间:2017-09-06

    Wordpress管理页面显示哪些插件有可用的更新,但是除了查看每个变更日志之外,还有没有其他方法可以只通知与安全相关的插件理想情况下,我希望有一个页面(甚至RSS提要),可以随时查看,并告诉我“这个插件收到了安全更新,请尽快更新”。

  • 如何找到他们入侵我的可湿性粉剂网站的方式

    时间:2017-08-27

    昨晚,我的一个客户的网站被黑了。据我所知,黑客们所做的唯一一件事就是改变了索引的内容。php文件到他们的。当然,修复的速度非常快,只需将此文件替换回我从最新备份中获得的原始文件即可。据我所知,他们没有联系到WP管理员,因为文件中没有丢失任何其他内容,一旦主文件恢复,一切都正常。那我怎么才能知道他们是怎么做到的呢??当然是为了防止它再次发生。我在WPMU有一个付费帐户,并安装了Defender插件,但它没有提供多少有价值的信息,也没有任何与本案相关的信息。

  • 是否有可能缩短密码的最小字符长度?

    时间:2017-08-25

    最近,我们收到了一些投诉,其中一个网站要求用户密码长度至少为12个字符,建议使用特殊字符和大写字母来增加密码强度。我查看了我们的插件和设置等,没有看到任何命令密码长度或强度的内容,所以我假设这是默认值?如果是这样,我如何将最小字符数减少到更合理的值,比如说8?

  • Cookie随机数无效-多站点

    时间:2017-08-25

    我收到以下消息:应用程序密码插件Cookie nonce无效iThemes安全临时安全检查失败,导致请求无法按预期完成。请尝试重新加载页面并重试。。。。当我尝试在network(multisite子目录)admin中保存设置时。但是,如果我在一个站点中使用插件的设置面板,我不会收到这些消息。我做了一些调试,我发现wp_verify_nonce() 始终返回false。cookie标记与预期的标记从不匹配。我不知道Wordpress为什么会这样。有人知道为什么Wordpress nonce会这样做吗?我怎样

  • 何时调用wp_set_password()或如何获取密码

    时间:2017-08-13

    Disclaimer: I\'m fully aware of the security issues created by this. This is not for production.每当在WordPress中注册新用户或(重新)设置密码时,我都会尝试捕获该密码,对其进行加密,并将其保存到wp\\u usermeta表中。我成功地加入了profile_update 完成此操作,但上述过程仅在配置文件页面中更改密码且不考虑新用户注册时有效。add_action( \'profile_update\'

  • 未登录的用户无法提交表单

    时间:2017-08-07

    我使用Mailchimp插件嵌入了一个Mailchimp新闻稿注册,该插件对登录用户和我的其他网站都很好。但在此页面上,未登录的用户无法单击表单的提交按钮。它只是没有效果,也没有出现错误消息。什么都没有发生。EDIT: Could the problem be the fact, that there are two forms on the page, when the user isn\'t logged in and mailchimp can\'t figure out which input f

  • 我怎么才能给自己打开后门呢?

    时间:2017-08-03

    我雇了一个开发人员在我的网站上编辑一个特定的插件。我们都知道,如果不给他密钥master/administration渗透,他就无法编辑该插件的代码。他可以在任何时候删除我的帐户并控制我的网站,我制定了B计划并对我的整个网站进行了备份,如果出现任何问题,我将从cpanel中删除我的整个网站并从备份中进行设置。我的问题是:如果他决定删除我的帐户,我如何才能使自己不可删除,或者为自己打开第二扇门来访问我的网站?

  • Wp-config中的HTTP安全标头

    时间:2017-08-02

    是否有方法将HTTP安全标头放置在wp-config.php 而不是在.htaccess 或functions.php? 如果是,格式是什么?

  • 如何阻止对自定义主题的header.php的重复黑客攻击?

    时间:2017-07-24

    注意到网站根文件夹上有一些不需要的文件,并将其删除。我找到了那个标题。php文件包含一些恶意代码,这些代码只能重定向到移动浏览器上的垃圾邮件网站。当这些文件存在时。htaccess pretty permalinks不起作用。我已经更改了Cpanel、FTP密码。已删除以下列出的不需要的文件。已扫描所有文件和文件夹。在干净地安装wordpress和插件之后,会重复添加这些文件。服务器:使用Cpanel/FileZilla的共享主机/linux服务器文件传输如何阻止这些重复的攻击?恶意脚本列表。ssl。ph

  • 如何防止从我的WordPress网站访问未知地址

    时间:2017-07-13

    我用wordpress开发了一个网站。在日志文件(显示ip地址和已访问的页面)中,我得到了一些从我的站点访问的未知地址,尽管它们实际上并不存在。这些地址已从世界各地访问。一些示例地址包括:xxx/c3e/bfv伪造gps不允许模拟位置xxx/c3e/bfv软件远程监控计算机活动免费xxx/rl8/bbx/7-hack-app-that-allow-you-to-view-wifes-or-girlfriends-facebook-secretly。适用于windows phone的html xxx/c3e

  • 如何混淆wp-config.php或代码

    时间:2017-07-04

    在文件中wp-config.php 它清楚地显示数据库用户名和密码那么,如何混淆wp配置。php或代码。几个页面支持软件:ioncube、php编码器或zenguard,但我不知道如何混淆wp配置。php直接示例:问题:编码器不想someone 获取代码并在其他服务器中重新设置网站。但编码器有key 用于解密wp配置。php并可以进行设置。密钥的好处是什么https://api.wordpress.org/secret-key/1.1/salt/ 在wordpress中?

  • 是否有防止恶意插件更新的程序?

    时间:2017-07-03

    这是我今天的一个随机想法。以下是场景:我在WordPress商店有一个插件,有100多个活动安装。我最近更新了插件,并将更改推送到WordPress SVN。大约60%的用户在最初几天内更新了插件,但有什么不能说我可以用恶意代码更新自己的插件呢?例如,我的插件允许用户创建电话号码短码,但在更新中,我可以更改代码以检查是否安装了WooCommerce之类的插件,并将其客户数据转发到外部位置。是否有防止此类事件发生的程序?这让我有点担心,因为我的网站上有许多其他开发人员编写的插件,我一直在更新它们,而没有检查

  • 使用AJAX手动登录用户安全吗?

    时间:2017-06-24

    我正在为我的主题添加一个模式登录。最直接的途径是创建模板并包括wp_login_form(); 在里面。这将加载稍后可以使用CSS或jQuery自定义的核心登录。但是,它需要重新加载页面以验证凭据。我的想法是使用AJAX请求发送用户名和哈希密码,并通过wp_singon().现在我的问题是:这样做安全吗?WordPress本身会以某种方式将密码发送到服务器,但我不确定这就是它</如果可以这样做,我应该使用admin-ajax? 或者REST-API也可以处理登录吗</如果以上都可以,那么最后一

  • 为什么我无法使用NADI访问我的内联网LDAPS?

    时间:2017-06-20

    通过我公司的Intranet访问LDAPS(安全LDAP)的好插件是什么?我试过了Next Active Directory Integration (NADI)是由网站供应商推荐的,它看起来很干净,有很好的文档,而且是免费的。然而,就我的水平而言,很难购买支持包(实际上需要几个月!),而且,在没有对LDAPS凭据进行首次验证的情况下,您无法激活日志-我无法这样做,因为我不知道如何设置连接参数。我无意中发现了这个错误:Verification Username does not match the req

  • Replace domain in database

    时间:2017-06-18

    我的网站受到攻击,所以基本上所有的核心php文件都已损坏。只剩下数据库。现在我在本地主机中进行了尝试。如果我想从这个数据库恢复我的站点,域名是我唯一需要替换字符串的东西吗</我找到了这个教程-Replace string in database - 更改所有表中的域字符串,但几乎不知道将其放入何处以及如何在wordpress中触发它