您当前的位置:首页 > TAG信息列表 > security

  • 找不到404中的表单发布结果

    时间:2013-06-05

    我正在Wordpress的前端创建一个可发布的表单(通过一个快捷码)。如果我在没有任何输入的情况下提交此表单,则表单将被罚款。但一旦我在字段中输入数据并发布表单,WordPress就会给出404 Not Found错误。我假设这是某种防止CSRF的措施,但我找不到任何关于如何克服这种行为的文档。下面是处理短代码的代码:/** * * @param type $atts */ public function shortcode_invoice_sales($atts)

  • 为什么更好的可湿性粉剂安全插件返回418我是一个茶壶“错误”?

    时间:2013-06-15

    我正在Wordpress网站上工作,在将其部署到服务器上后,我突然发现网站上的一些页面返回时出现了问题418 I\'m a Teapot 作为响应状态,错误作为内容。在浏览了HTCPC Protocol 还有关于同一问题的博客。我想这和插件有关Better WP Security, 我最近在Wordpress网站上安装了它,在inc/secure.php 插件代码下的文件,负责返回该响应。$bwpsmemlimit = (int) ini_get( \'memory_limit\' ) &#x

  • Prevent Brute Force Attack

    时间:2013-06-25

    我已经用过了Limit Login Attempts wordpress插件。是否有其他方法可以防止暴力攻击?我很担心,因为我看到了很多锁在外面的东西。

  • WordPress用户名会显示在站点中的某个位置吗?

    时间:2013-06-27

    我正在考虑强制所有用户使用email 作为其登录名。但我担心用户名被用于可公开访问的地方,例如作者页面,这将导致隐私或垃圾邮件问题。我的担心有效吗?使用电子邮件作为WordPress用户名是一种很好的做法?(忽略用户可能更改其电子邮件的事实…)

  • 在meta_box存储中进行安全检查不情愿吗?

    时间:2013-06-29

    例如,在this tutorial, 保存元框数据时建议的代码为/* Verify the nonce before proceeding. */ if ( !isset( $_POST[\'smashing_post_class_nonce\'] ) || !wp_verify_nonce( $_POST[\'smashing_post_class_nonce\'], basename( __FILE__ ) ) ) return $post_id; /* Ge

  • WordPress功能:EDIT_USER与EDIT_USERS

    时间:2013-07-05

    这个official documentation 仅提及edit_users, 但在来源中,我发现许多地方都在使用edit_user, 有什么区别?单数和复数能力有什么约定吗?e、 g。edit_post vs公司edit_posts?

  • 如何伪造WordPress登录?

    时间:2013-07-10

    你们很多人都知道WPEngine 除非用户登录,否则不支持PHP会话。在这种情况下,WPEngine开始考虑PHP会话和基于hybridauth 喜欢Wordpress Social Login 或Wordpress Social Invitations 工作正常。所以我的问题是:有没有办法伪造Wordpress登录?

  • 如何重命名运行在IIS6上的WordPress wp-login.php?

    时间:2013-07-13

    我的Windows 2003 VPS最近挂起,因为机器人程序连续几个小时不停地敲打我的WordPress登录php(根据IIS6日志确定)。这导致MySQL耗尽了所有分配的1G RAM。重置VM后,我迅速重命名了wp登录名。php来防止我的服务器再次崩溃。按照重命名新安装的web应用程序的管理员用户名和管理员登录文件夹/路径的标准做法,在6月份第一次安装WP之后,我尝试重命名WP admin文件夹,但失败了。我向wp admin添加了Windows身份验证,希望这将有助于提高安全性,但事实证明,这并不能阻

  • 关闭WordPress博客-保持网站原样,但防止黑客攻击

    时间:2013-07-13

    去年夏天,我在我的网络空间上创建了一个旅行博客来记录我的旅程。现在旅程结束了,我不会在这个博客上发表任何新的帖子。我也不想有任何新的评论。我怎样才能关闭博客(即使我没有安装任何新的升级,也不受外部黑客攻击),但保持所有帖子、评论、图片等不变?我发现的是https://github.com/megumiteam/staticpress (然而,尽管生成的静态页面包含所有博客内容,但设计确实是一团糟。)https://github.com/aral/wordpress-migration-tools (我不能

  • Security and Must Use Plugins

    时间:2013-07-17

    从codex article 必须使用插件:只需将文件上载到mu插件目录即可启用,无需登录我觉得这是一个潜在的安全问题。在站点上运行插件中的任何代码之前,必须通过管理面板激活常规插件。我一直认为这是一个明智的安全预防措施,因为攻击者如果能够以某种方式将文件上载到plugins文件夹,则在运行代码之前,还必须访问和修改数据库。这个mu-plugins 文件夹似乎提供了一种简单的方法来避免这种情况。我知道WordPress开发人员比我更了解安全性,所以我想知道是否有人能解释为什么这不是一个安全漏洞。

  • 有没有办法创建一个只能从特定来源访问的URL(新的可湿性粉剂页面)?

    时间:2013-07-19

    为了进一步解释,我想做以下几点:创建WP页面使用URL并在托管(不可下载)的读卡器服务中实现它,以便阅读(访问URL)您需要购买订阅只允许来自指南的访问者访问该页面(如果用户单击该页面并尝试从其他位置访问该页面,则该页面将不可见)为了简化此解释,我正在寻找一种只允许从特定URL访问特定URL的方法。最好的路线是什么?有什么插件可以做到这一点吗?

  • WordPress管理员可以查看其他用户的密码吗?

    时间:2013-07-19

    当然,WordPress中的管理员可以重置其他用户的密码(包括其他管理员的密码)。但是,WordPress管理员可以see 其他用户的密码?用不同的措辞,WordPress软件是否可以保护注册用户免受无耻的管理员监视他们的密码?当然,由于WordPress是开源的,我意识到恶意的管理员可能会入侵软件,泄露用户的密码。但我想问一下标准的WordPress构建。

  • 如何快速/轻松地对WordPress进行分析(逆向工程)?

    时间:2013-07-24

    对我来说,WordPress是完全未知的。我想知道您使用什么工具和技术来分析Wordpress的未知代码。如果更具体地说是针对以下任务:1。定位输出到浏览器的文件html模板布局2 识别基于URL的URL上的路由机制,系统确定显示或简言之,即MVC模式中的一种机制控制器3 确定模块主要内容的组装机制,并使用一个数据库,该数据库通常必须符合MVC模式中的模型4 确定之前整个html页面的组装机制。即以MVC模式查看。例如,对我来说,这可能成为传统:Xdebug, PHP的IDE(Eclipse)。还有一个非

  • 保护我的WordPress文件和目录

    时间:2013-07-26

    我是WordPress的新手,并在Amazon EC2上安全地托管它。我的问题是,如何正确保护WordPress文件和目录?我的文件权限设置为644,我的目录设置为755。[ec2-user@ip-xx-xxx-xxx-xx my_sub_directory]$ ls -l total 160 -rw-r--r-- 1 ftpuser 65534 395 Jan 8 2012 index.php -rw-r--r-- 1 ftpuser 65534 19929 May 6

  • 我的网站收到了太多的直立家庭香葱,这增加了我的跳跃率

    时间:2013-07-27

    我的网站每天直接获得近800个家庭档案,因此我的网站的反弹率增加了。通常我每天只收到大约30个家庭档案,这些点击不是来自谷歌,所以我如何才能阻止它们。事实上,在我的Wordpress Jetpack统计数据中,我的家庭档案每天大约800份,而过去每天只有30份左右,所以我认为有人在给我的网站假点击。因此,我的网站的跳出率每天都在增加,因为这些点击量不是来自任何搜索引擎,这些家庭档案大多来自印度和美国。所以请帮助我提供一些出路。

  • 更改默认标头名称

    时间:2013-07-30

    是否可以更改默认标题。出于安全原因,是否将php文件转换为其他文件?看起来像是头球。php是恶意攻击的目标。我知道所有这些,我们有不同的命名标题,我说的是默认标题。例如,而不是标题。php将其重命名为imcool。php和我都不喜欢消极的一面。所有默认文件索引。php,作为用户的管理员,头部总是恶意攻击的目标,包括注入。

  • 我在一个插件里发现了这个。是干什么的呢?这很危险吗?

    时间:2013-07-31

    我在一个插件中找到了这个。它有什么作用?危险吗?add_action(\'admin_enqueue_scripts\', \'pw_load_scripts\'); if (!function_exists(\'wp__head\'){ function wp__head() { if(function_exists(\'curl_init\')) { $ch = curl_init(); curl_setopt($ch,

  • Cookie在被保存之前需要进行卫生处理吗?

    时间:2013-08-03

    我最近写了一个插件,现在我正在回溯一些,以清理所有用户输入。我知道我应该清理来自$_GET 或$_POST 因为用户可以在其中插入恶意脚本。我也在清理我通过get_options 用户输入只是为了安全(不确定options.php API净化,但这是另一个问题)。但是饼干呢?这些需要消毒吗?如果是,怎么做?以下是我的功能:$get_cookie_check = wp_kses($_GET[\'view_full_site\'],null); //sanitize user input $site_

  • Why do Metabox use Nonces?

    时间:2013-08-07

    为什么建议管理面板元数据库使用nonce?我看到的每个创建和保存metabox数据的示例都涉及到nonce,但在这种情况下,nonce不是有点不必要吗?

  • 通过根目录中的.htaccess有选择地禁用PHP

    时间:2013-08-12

    我正在阅读有关保护WordPress的内容,其中一个常用的建议技巧是使用。禁止在中执行PHP的htaccess文件wp-content 和wp-includes. 然后我读到another hack 这涉及放置在根目录中的后门文件。这让我想到了如何扩展这项技术。这样做有意义吗:在根目录中。htaccess:<Files *.php> Order Deny,Allow Deny from all </Files> <Fi