您当前的位置:首页 > TAG信息列表 > security
Wordpress插件是必不可少的吗?
我是WordPress的新手。我最近读了一篇关于黑客如何利用插件漏洞的文章。Google Pagespeed等各种来源也劝阻我不要使用插件,或者至少将其保持在最低限度。就我个人而言,我也尽量避免使用插件,因为我觉得自己可以更好地控制网站上发生的事情,下载一个插件几乎感觉“很棒,我必须学会如何使用另一个插件”。我知道“插件推荐”是离题的,但我想要的实际上是解释为什么/如果一些插件在WordPress中是必不可少的。以这些为例:Security - 一些顶级插件与安全性有关。但WordPress网站是否普遍易
如何在Nginx中重写WP-Security的规则?
我在运行nginx的VPS上有一个WordPress网站。我已经安装了WP安全插件来提高我网站的安全性。将所有设置更改为我喜欢的设置后,一个弹出窗口通知我需要重写规则以保存更改。其中一部分写道“请参阅更好的WP安全仪表板,以获取您需要的重写规则列表。”可在此处找到重写规则列表:# BEGIN Better WP Security # Begin HackRepair.com Blacklist if ($http_user_agent ~* \"^BlackWido
删除被黑客攻击的代码--出主意!
我一直在从事一个项目,该项目不断在配置中插入一些PHP。php文件,它导致了很多SEO问题。在这篇介绍之后,我将粘贴一个示例(它很长)。我已经删除了好几次,更改了FTP密码、管理员密码和用户名、盐并检查了。htaccess-除此之外,我还被卡住了。有没有办法解决这个问题?部分代码,中间删减了很多;eval(gzinflate(base64_decode(\'pRn9c9o49ufczP0PKuPGuHHAGAihiZN2U7q7M9dtj6Y3c5OkjLBl8GJsr2wINM7/fu9J8kcI2du
用户元与公共函数安全
我正在使用stripe建立一个购买信用卡的系统,可以在我的wordpress网站上使用。我使用wordpress用户元保存信用,并在成功使用stripe进行交易后增加这些信用。我在我的主题函数中使用以下函数来实现这一点。php文件//increment a users pack credits function increment_pack_credits( $user_id , $credit_amt ) { if ( !current_user_can( \'edit_user
即使在从请求标头中删除身份验证Cookie之后,也可以转到WordPress管理员
我发现,如果我从浏览器的请求头中删除了auth Cookie,我仍然可以查看页面。步骤:登录我的WordPress安装转到wp管理页面在Chrome中,使用开发者网络选项卡并复制页眉以访问页面将cookie粘贴到Dev HTTP客户端移除所有Cookie按发送输出显示我仍然可以访问管理页面这是一个漏洞吗?如果我删除了身份验证cookie,WordPress难道不能检索登录的用户吗?
在管理面板中限制访问
我想限制对某些插件页面/普通WP页面的访问。我找到了一种从菜单中隐藏这些页面的方法,但目前没有限制它们。例如,我有一个编辑器,我不想让他们访问Media 和Tools - 我可以通过以下方式隐藏这些页面:function editor_menu() { global $menu; if(!current_user_can(\'administrator\')) { $restricted = array(__(\'Media
我们是否需要转义从主题选项中接收到的数据?
我正在创建一个Wordpress主题,我希望在此之前在其上销售。现在我知道了很多关于使用esc\\u html、esc\\u url等函数转义用户输入的数据的知识,我在评论模板和主题中的其他地方使用了它们。我不确定的是,我是否应该对用户使用主题选项输入的数据库中的数据使用这些函数。因为它仍然是用户输入的数据,只是在我们回显之前,它会通过数据库。我正在使用Redux Framework 要为我的主题创建主题选项,我在全局变量中有所有设置:$mytheme_options. 总结一下我的困惑,如果
当允许用户下载公共数据时,是否有必要使用WordPress随机数?
我正在使用jQuery.load() 单击按钮后加载WordPress帖子的下一页。帖子的下一页是公共数据(没有任何访问限制)。我应该使用WordPress nonce 检查这种情况?如果是,请解释原因。提前谢谢。
查找注入到内容中的垃圾链接的提示
我在一个客户的网站上工作,我注意到帖子有一个隐藏的<div> 填充到dick pills等的垃圾邮件链接。为了运气好,我在数据库表中搜索了一些关键字,但没有找到匹配项。我还搜索了所有文件中的代码,也没有找到匹配项。我知道Wordpress黑客可能很难删除,而且他们会竭尽全力使其难以找到。但也许有一些“常见的嫌疑犯”我可以检查,或者也许有一些我可以寻找的告密迹象。I\'m not asking for anyone to solve this specific hack. 我只是想知道(总体上)
为什么如此频繁地调用xmlrpc.php和wp-cron.php?
我正在运行Wordpress网站,从服务器日志中发现xmlrpc。php和wp cron。php的请求(当然是POST请求)非常频繁,包括一些散发恶意活动或尝试气味的可疑IP。我的理解是xmlrpc。php提供了一个“API”,供其他人与站点交互。wp cron。php用于定期任务。那么,为什么我看到这么多的请求,而这些页面?黑客是否在寻找某种后门或安全漏洞?
允许WordPress用户查看其当前密码的具体方式?然后编辑它吗?
我知道内置的用户管理器不允许用户查看其当前密码,只需通过电子邮件恢复/重置密码或在管理员中写入新密码即可,但我正在寻找一个插件或其他方法来绕过此问题,并允许创建一个用户配置文件页面,允许用户在字段中查看其当前密码,并在那里更新表单(如果他们愿意)。我意识到标准Wordpress不允许这样做,所以我对s2member之类的插件持开放态度,但不确定是否有这样的插件。我在一个网站上使用Amember,它通过一个插件与WordPress集成,你可以用我提到的方式在Amember中编辑和查看密码,但我不能在像WPE
将FTP详细信息存储在wp-config.php中
我想了解在wp config中存储FTP详细信息的安全问题。共享服务器上的php。这对我来说“感觉”不安全。我正在使用ManageWP控制共享服务器上的站点,并且必须为每次更新手动输入FTP详细信息。
如何暂时隐藏轻松访问我的网站?
我正在开发一个新网站,我不希望其他人,除了我的同事以外,能够轻松访问它。我不想让它受到密码保护,因为我的同事正在对它进行密集测试。是否有任何简单的方法来混淆它,这样我就不需要将WP安装到其他文件夹等。?更具体地说,有没有简单的方法来禁止访问http://www.example.com 实际上,将主页移动到,http://www.example.com/h6DuBo93yS? 其余的页面可以保留,因为它们的地址不太容易猜测。
保护我的“ADD_SETTINGS_FIELD”翻译?
我正在使用“add\\u settings\\u field”,并希望为其提供翻译,但我的问题是安全性情况也是如此__(\'My Checbox:\' , \'domain\') 翻译是否足够安全如果没有,我该怎么办 我试着使用esc_html_e( \'My Checbox:\' , \'domain\' ) 和esc_html_( \'My Checbox:\' , \'domain\' ) 但它破坏了我的页面。。。add_settings_field( \'add_checkbox\'
当使用错误的密码或用户名时,如何给出相同的错误信息?
出于安全原因,当使用了错误的密码或用户名时,我的WordPress实例应该给出相同的错误消息。如何做到这一点?
$wpdb->Prepare逃逸太多了吗?如何正确使用它?
我对$wpdb->prepare感到非常困惑。我想用它来清理用户输入,但结果是它破坏了查询。我无法想象它是如何工作的,但我无法找出我做错了什么。请耐心点,给我指出解决方案。下面的代码只是一个简单的示例,用于演示,目的是明确出现了什么问题以及如何出错。Later there will be user input 正在馈送此查询。当我省略了“准备并使用sprintf”时,这个示例很有效:global $wpdb; $mydb = new \\wpdb( \"My_Login\" ,\"My_PW
通过重定向黑客来攻击他们
我的网站越来越受欢迎,随着它越来越受欢迎,黑客也越来越多。昨晚我访问了我的安全日志,发现每天大约有10个人试图访问 /?author=1 /?author=2 /?author=3 /?author=4 但我没有这些用户ID,所以会为它们生成404。他们还对用户名运行猜测机器人: admin administrator wordpress 现在,我想控制他们。。。因此,每次他们尝试访问这两个选项中的任何一个: 1. visiting /
我如何创建一个无法从外部访问的私有站点?
我需要一个安全的地方,在那里我可以存储有关我正在从事的项目的数据。这些数据包括文本和文件(图片、声音和视频)。我想为这个Purpose创建一个只有我自己才能访问的私人“博客”。这背后的原因是我可以从任何地方访问数据,该解决方案是独立于平台的,使用Wordpress搜索栏搜索数据应该很容易,元数据可以添加到所有上传的文件中。我唯一关心的是安全性——在保护web存储库的内容方面,我有哪些选择?我仍然面临的问题是:如果有人打破过去。htpasswd(通过暴力强制,is there a way to block
如果您知道操作名称,wp_nonce_field是否易受攻击?
如果知道操作名称,wp\\u nonce\\u字段是否易受攻击?实际上,我在表单中添加了一个隐藏字段,名称=操作名称的名称,以便我的插件可以识别它。我想知道如果我将我的操作名称设置为“可见”,是否存在安全问题?编辑:我实际上是在自动化我的表单提交工作流;因此,如果需要显示操作名称,我可以对其进行加密。例如,我打电话MyFormPlugin::generateAction( \'submitQuestion\' ); 在我的表单中生成nonce和隐藏的“form\\u action”操作字段。class M
何时使用esc_html,何时使用sanitize_text_field?
看起来他们做的工作几乎相同。所以我应该何时使用esc_html() 而不是sanitize_text_field()?