您当前的位置:首页 > TAG信息列表 > security
如何阻止对标准登录流和评论流的访问
我已经在我的Wordpress博客上设置了用于登录、注册和评论的自定义流。我想对标准登录流进行密码保护,这样只有我才能使用它,并完全阻止对标准注释流的访问。我的本能是.htaccess pw保护访问wp-login.php 和wp-signup.php. 这是否足够,或者是否有其他访问此页面的方法?e、 g。index.php?action=login, 等至于评论,我不确定。最好是挂接到注释操作并终止该过程吗?或者会.htaccess 也为这个工作?如果.htaccess 对于这些场景中的一个或两个都是
Regarding plugin security
我在wordpress网站上找到的插件是合法的,并且没有恶意代码,这有什么保证吗?还是由我来检查?如果是这样的话,鉴于我对php知之甚少,那么最好的方法是什么
限制自定义帖子类型显示为?POST_TYPE=
在附加querystring post\\u types=“您的帖子类型名称”时,它会显示所有帖子。我正在使用一个插件,它有自己的自定义帖子类型,但受到限制(只有购买了会员资格的用户才能查看它)。。但今天,当我忙于搜索时,我发现post\\u类型为querystring。有没有办法阻止显示此私有自定义类型?wordpress中是否还有其他类似的“神奇”查询字符串?
应对过度侵略性垃圾邮件的策略?
我的几个网站受到了一个超渐进分布式垃圾邮件的猛烈抨击。这只是纯粹的链接垃圾邮件。它都来自一个用户名,但来自各种IP。Akismet正在捕获垃圾邮件,因此我的网站不会被破坏。但这会影响性能。缓解这种情况的最佳做法是什么(如果有的话)?Edit 24小时内大约有400个这样的人。它们来自一组轮换的IP地址。每个地址有5到10个点击。60.173.9.*,60.173.10。*和60.173.11*</112.123.168。*</根据apnic,这两个地址范围都已分配。net提供给中国的ISP。(
日志中出现404个错误,显示带有‘GET’、加号和数字代码的URL
我的wordpress日志显示404个URL错误,其模式如下:http://example.com/path/++GET+http:/example/+0,48595,73506+- 网络搜索不会返回答案,因为有加号和减号。请注意,第二个http后跟一个斜杠。使用正确的URL访问我的站点(在第二个http后使用双斜杠)返回404。我的日志每天显示来自不同IP地址的50个错误,其中每个IP地址尝试同一文件三次。我很想知道这可能是什么类型的剥削。它似乎与GET请求方法有关。想法?
wordpress admin security
我用不同的工具扫描我的网站,但它没有显示恶意脚本。但当我在管理仪表板中看到时,我在body标签下面看到了奇怪的方形符号。我试图检查管理索引文件,根索引文件,但什么都没有。有人放了这个脚本。而且,当我试图采取备份它不允许我采取。使用BackupFordPress插件。然而,所有其他的事情都在运行,但在管理方面仍然存在一些问题。如何检测和删除此项。
会话Cookie安全问题
我是一个。NET开发人员,但我也管理我们所有的公司网站,这些网站都是Wordpress。我从一个不在我公司的人那里继承了这些网站。我的公司最近花了一大笔钱让顾问进行安全审计,他们发现了以下关于登录/cookie以及如何在Wordpress中工作的问题。-用户会话cookie不安全会话验证不会被销毁,并且在用户注销会话cookie时仍处于活动状态,其中包含用户名有没有办法解决这些问题?
如何安全地使用$_SERVER[‘REQUEST_URI’]来避免XSS?
我看到很多关于使用的警告$_SERVER[\'REQUEST_URI\'] 因为它可以向XSS开放,但我还没有找到任何可以确认安全使用它的方法。有些人提到使用esc_url(), 但我找不到任何能证实如何安全使用它的东西。这是我最好的猜测,这能安全地防止XSS攻击吗?echo esc_url(( is_ssl() ? \'https://\' : \'http://\' ) . $_SERVER[\'HTTP_HOST\'] . $_SERVER[\'REQUEST_URI\']);如果我想在内部使用UR
WordPress它正在清除一个自定义的Query_var以避免SQL注入?
我正在使用get_query_var 获取自定义的函数query_var. 这query_var 将在中稍后用于查询参数,以检索具有以下内容的帖子:$the_query = new WP_Query( $args ); 我的问题是,如果我使用get_query_var 例如提供了,或者我是否需要清除此变量以避免sql注入?我读过this post, 但它并不完全清楚,而且也很古老。
只将.htAccess用于WordPress安全性,无插件
目前,我正在为我的网站使用防弹wordpress安全,但当我安装W3 Total Cache插件时,它会给我带来一些与相关的错误。htaccess文件和防弹wordpress安全再次警告我继续单击创建。再次访问htaccess文件。现在,我的问题是。。只能使用吗。htaccess文件,其中包含完整的安全措施。并且不使用安全插件。?我已经找到了一些可以采取的严格措施。htaccess文件,并将在cpanel中为wp admin和wp login启用目录保护。php那么,我走对了吗。?
是否使用设置API验证值?
我正在使用设置API为插件创建选项。我是否需要验证安全性的输入值(例如stripslashes等)?(我在大多数教程中都找不到这一部分)。下面是我正在做的:<form method=\"post\" action=\"options.php\"> <?php settings_fields( \'sandbox_theme_display_options\' ); do_settings_sections( \'sandbo
禁止Microsoft Word上载的安全原因是什么?
当我尝试上载时。文件或。docx文件我收到以下消息:抱歉,出于安全原因,不允许使用此文件类型多站点安装涉及哪些安全风险(3.9.1)?我知道如何启用该功能。非常感谢。
Enforcing password complexity
我们需要在wordpress站点中强制实施密码复杂性,我们使用了本文:http://www.webtipblog.com/force-password-complexity-requirements-wordpress/我们在函数中创建了以下内容。php:add_action(\'user_profile_update_errors\', \'validateProfileUpdate\', 10, 3 ); add_filter(\'registration_errors\', \'valida
在大多数情况下,$wpdb->GET_RESULTS比WP_QUERY快,这是真的吗?
在我的主页上,我有一个部分,我必须显示最后五篇特色文章,其中特色文章只是一篇带有自定义字段is\\u featured设置为1的文章。我用两种不同类型的代码实现了我想要的:使用wpdb<?php $featuredPosts = $wpdb->get_results(\" SELECT ID, post_title FROM $wpdb->posts LEFT JOIN $wpdb->postmeta ON($
哪些WordPress脚本需要可执行才能进行全新安装?
出于安全原因,我需要阻止对新WordPress安装中不会执行的脚本的访问。示例:索引。php-->需要可执行,包括/缓存。php-->不应执行(它包含在其他文件中)任何人都知道哪些文件是included 而这实际上需要executable?我想建立一个可以通过执行的有效文件列表。htaccess,如下所示:Update:这是。htaccess文件我有-我的实际问题是:这个配置完成了吗,或者我需要允许更多的文件才能让新的WordPress安装正常工作?<IfModule mod_rewri
Wp.getUsersBlog XMLRPC暴力攻击/漏洞
周末假期过后,我管理的一个较大的网站遭到了暴力攻击。攻击者试图使用wp.getUsersBlogs 函数和常用用户名和密码列表。快速的研究表明,在成功尝试后,此函数将返回用户是否是管理员。我使用IP黑名单云插件作为安全的一部分,因此它记录了攻击,但由于此攻击方法不使用正常的登录方法,因此不会发生实际的黑名单。无论如何,这都不会有什么帮助,因为每次尝试后,攻击者都会使用一个新的IP(到目前为止总共超过15000个IP)(第二次攻击超过20000个)。我确实找到了一个完全禁用XML-RPC(API)的插件,但
在配置和数据库中设置的WordPress盐
我在中的一个新客户现有网站中遇到了以下代码wp-config.phpdefine(\'AUTH_KEY\', \'put your unique phrase here\'); define(\'SECURE_AUTH_KEY\', \'put your unique phrase here\'); define(\'LOGGED_IN_KEY\', \'put your unique phrase here\'); define(\'NONCE_KEY\'
How to escape custom css?
我正在创建一个WordPress主题,允许用户从主题选项中添加一些自定义css。然后,此css代码将直接在页面的头部部分得到回应,代码如下:add_action(\'wp_head\', \'theme_dynamic_css\'); function theme_dynamic_css(){ global $my_theme_options; $custom_css = \'\'; if (isset($my_theme_options[\'custom-cs
在不同的域中运行WordPress前端和后端
我想将我的WP前端作为www.example.com 我的后端(即wp admin)为user1.example.org, 有可能吗?原因是我想在一台只有1个IP的服务器上托管很多站点,我需要对wp admin(即.*.example.org)的SSL支持
SAVE_POST挂接的安全性
有很多examples 使用save_post 钩子,包括添加和验证nonce,以及在继续之前检查用户是否具有适当的权限。这有必要吗?更新/发布帖子时,WP会验证正常的nonce,并检查权限本身,重定向到403或“确实要这样做吗?”`如果有什么东西未检出,请呼叫。因此,如果提出了错误的请求,钩子甚至不会被调用,那么为什么我必须自己重新检查这些东西呢?