您当前的位置:首页 > TAG信息列表 > security
将所有wp_Options发送到javascript文件会有危险吗?
我注意到wordpress允许我通过wp\\u localize\\u脚本将wordpress选项发送到javascript:wp_localize_script( $this->plugin_slug . \'-plugin-script\', \'wp_options\', wp_load_alloptions() ); 这样,我的javascript就可以访问不同的设置,例如一周从哪一天开始,以及用户选择的日期格式。是否存在任何风险,将所有选项作为变量发送给js,或者这样可以吗?我注
如何隐藏WordPress用户,使其不受安全扫描?
我们即将推出一个内部托管的WordPress网站。作为标准做法,我们的IT安全团队会检查任何漏洞。遗憾的是,他们能够检索WordPress用户/帐户列表。有没有办法隐藏它们?我设想这将涉及对WordPress PHP文件的更改。
有没有办法删除在post.php中修改slug的选项
我正在尝试删除编辑的选项Permalink.我知道如何用CSS隐藏它,我也知道。但黑客只需检查元素并进行更改display: none; 到display: block; 然后可以修改永久链接。那么有没有办法阻止这种选择呢?或者我可以检查用户是否提交以验证permalink是否未被修改?
为什么我在没有(所需)电子邮件地址的情况下收到意外评论?
有人翻译了我的一篇教程here (经我许可)。一切都很好,但我在翻译链接到的两个教程中得到了一些似乎无意的评论。奇怪的是他们没有comment_author_email! 我试图在没有指定电子邮件地址的情况下对我的一篇教程(浏览器已注销)发表评论,但我做不到(应该是这样)。我正在使用反垃圾邮件插件,到目前为止,它为我做了出色的工作。有人知道发生了什么吗?我应该担心我的网站被黑客攻击吗?我该怎么办?提前感谢!
是否有必要将esc_url与get_permarink之类的模板标记一起使用?
我一直在读到,清理数据输出在wordpress的主题/插件开发中很重要。是否有必要将esc\\u url等函数与get\\u permalink等模板标记一起使用,或者模板标记是否负责清理?谢谢
如何限制对页面的特定部分的访问,而不仅仅是页面本身?
我查看了WP的网站,没有看到我可以使用的角色。我可以自己创建,但如何限制页面本身的内容?一些私人信息和一些公共信息可以在同一页上。我可以创建两个页面,但我不知道WP是否有办法做到这一点,也不知道我可以在哪里构建安全机制来实现这一点。如何限制对页面特定部分的访问,而不仅仅是页面本身?
Wp-admin共享相同的域,但不同的网站
我有像这样的网站http://www.foo.comhttp://www.bar.com我有一个通配符SSL证书*.example.com, 我可以为wp admin重新使用现有的通配符SSL证书,而不是为上述两个域购买两个SSL证书吗?e、 g。http://foo.example.comhttp://bar.example.com</仅适用于wp-admin 为了更好的安全性,有可能吗?
为什么在WordPress中密码可以作为纯文本导出?
在WordPress 3.9.2安装中,我可以通过转到“用户”,选择“所有用户”,然后选择“批量操作导出”来提取用户的纯文本密码。当我使用phpMyAdmin查看mySQL数据库时,密码是散列的。Question为什么所有用户密码都可以以纯文本形式导出,我如何防止这种情况发生?Update当我导出一个用户或“导出所有用户”时,我得到的输出与此类似User ID,Username,Payment Status,First Name,Last Name,Address,Zip,City,Country,Dat
我是否应该更改默认文件和文件夹权限?
阅读后Hardening WordPress 文章我意识到一个好的许可方案对我的WordPress安装的安全至关重要。文章建议possible permissions scheme 但我的问题是:考虑到WordPress是“开箱即用”的,并且有一个默认的权限方案,我需要更改它吗?如果是,请解释原因。
黑客可以对我的wp-config.php做什么
我正在努力保护我的wordpress博客。我在网上看到一些帖子,我应该改变我的table_prefix 隐藏我的wp-config.php. 但是,我不明白吗?攻击者可以对我的wp-config.php? 我的意思是有我的db配置,但攻击者需要我的DB_HOST 例如,要连接到我的db,哪一个不是那么容易获得?(我的情况是:define(\'DB_HOST\', \'localhost\');, 攻击者无法使用它连接到我的数据库)还是我错过了什么?非常感谢您的回复!
在没有插件的情况下更改登录URL
我想从/wp admin更改Wordpress安装的登录url。php我的目标是这样做,并希望改变。要加载项的htaccess文件:RewriteRule ^login$ http://yourdomain.com/wp-login.php [NC, L] 然而,据我所知,转到/wp admin仍然允许用户使用该链接登录。我在考虑做一些PHP重定向,这样当用户键入/wp admin时,它就会转到404未找到页面。在不使用插件和最高安全标准的情况下更改登录URL的最佳方法是什么?
安全错误WP 4.0+WP phpBB网桥
所以今天我更新到了4.0(很高兴有备份)。在我试图发表帖子之前,一切都很顺利。我找到了Are you sure you want to do this. 也有Cheatin\' Uh 在“外观->自定义”下。信息量确实很大。我转向谷歌,在谷歌搜索和启用/禁用插件的实验后,我发现是哪一个导致了它。是的WP phpBB Bridge. 这是一个允许用户使用phpBB帐户登录WP的插件。在搜索了该插件的代码后,我发现问题是由load_session_id() 中的函数wp_phpbb_bridge.php
IS_Email()与Sanitize_Email()
如果我允许用户输入要保存到数据库中的电子邮件地址,我应该使用is_email() 或sanitize_email()?例如:。update_user_meta( $user_id, $social_site, sanitize_email( $_POST[$user_input] ) );
保护wp-admin文件夹-用途?重要吗?
我正在努力了解如何保护WordPress网站。我不明白的一个安全任务是。。。How important is it to protect the \"wp-admin folder\"? 例如,我认为限制登录尝试非常重要。保护wp admin文件夹的目的是什么?是为了防止黑客进入你的WordPress仪表板吗?But if you protect wp-login.php, how would a hacker even get into the dashboard anyways? <Files
升级WordPress 4.0需要输入FTP密码
我能够在本地机器上升级Wordpress 4.0,并且我刚刚在生产机器上更新了一些插件,但是当我尝试在生产机器上更新Wordpress 4.0时,它要求我提供FTP凭据。为什么它以前从来都不需要这些呢?CloudFlare与此有关吗?我找到了这个http://codex.wordpress.org/Dashboard_Updates_Screen#Troubleshooting我试着用chown -R apache:apache * 在Wordpress上安装,但仍要求提供FTP凭据。我不想设置FTP服务
有什么方法可以禁用/wp-login.php重定向到站点文件夹吗?
我们在服务器上的文件夹中安装了WP。我们创建了名为wp admin和login的文件夹,以阻止黑客攻击。然而,令人难以置信的是,当您键入/wp登录时。php它重定向到我们的mysite。com/文件夹。我不敢相信WP会让事情变得这么容易。如何禁止任何人访问wp登录。php通过地址栏?
如何保护或禁用RSS提要?
我正在尝试将WordPress设置为CMS。因此,我想禁用feed,因为它主要是一个安全的站点。我浏览了所有的设置页面,但没有找到调整或禁用提要的设置。所以我想我需要编写一个自定义函数或插件来实现这一点。但是怎么做呢?关于feed的存在,我至少知道这些链接。。。http://example.com/comments/feed/ http://example.com/feed/ 因此,除了主要的问题之外,我也有点担心:上面的代码是否捕获了所有可用的feed?这真的是禁用所有提要的方法吗?我
我应该在联系人表单上使用wp_nonce_field吗?
我已经创建了一个自我提交的联系人表单模板,它工作得很好,但是当我浏览网页搜索教程(用于创建联系人表单)时,我注意到一些人在表单中使用了wp\\u nounce\\u field,但根据Konstantin Kovshenin 这是个坏主意。那么,我是否应该在我的联系人表单上使用wp\\u nonce\\u字段?谢谢
允许非管理员用户访问媒体上载程序是否安全
各位Wordpress用户您好:)我想问的是,允许非管理员用户访问WordPress media uploader是否安全。他们可以在上传媒体时注入病毒吗?WP系统是如何应对的?
WP_CREATE_NONCE函数在插件中不起作用?
我正在写一个WordPress插件,它在其中一个函数中创建一个表单。看起来是这样的(非常简单):class MyPlugin { public function createForm() { $nonce = wp_create_nonce(\'my_form_nonce\'); echo \'<input type=\"hidden\" value=\" . $nonce . \">\'; } }&#