您当前的位置:首页 > TAG信息列表 > security

  • 如何将密码安全地保存为设置字段

    时间:2014-10-20

    我有一个插件,要求用户在插件设置页面的表单字段中输入密码(访问外部站点)。现在这只是保存为纯文本,但我需要让它更安全。我能做什么?

  • 如何为管理员创建私人登录页面。?

    时间:2014-10-27

    我可以创建一个登录页面吗?该页面可以输入所有注册的访问者,但不允许管理员进入,即使他输入了正确的用户名和密码?对于管理员,我想有一个不同的登录页面和一个秘密地址。我在插件Woocommerce的底部有一家商店。它的登录页面经常受到暴力攻击,我担心它很快就会崩溃。

  • 定制RPC终端安全最佳实践?

    时间:2014-11-02

    我试图弄清楚如何在不加载整个WP堆栈的情况下保护自定义入口点。内置的AJAX入口点非常慢,实际上在有很多插件的站点上无法使用。所以我必须自己写点东西。我找到一个叫\'wp_session\'. 这基本上是确保我的终点的基础。目前我是这样实现的:在我的WP后端插件中,我启动WP\\U会话类并存储一些数据,以便稍后在我的端点中进行验证。一旦客户端通过我的端点进行RPC,我就要取回我的“会话实例”,并检查该会话对象中的参数是否正常;用户当时暂时拥有特权。在RPC URL中,我使用HMAC\\U SHA1和基于m

  • 离开MD5:在哪里声明定制的全局$wp_hasher?

    时间:2014-11-03

    我不想在数据库中使用MD5散列密码。计划是声明自定义全局$wp_hasher 正如在docs 对于wp hash password():除非设置了全局$wp\\u散列器,否则默认实现使用PasswordHash,它会在密码中添加salt,并使用8次MD5对其进行散列。我想申报$wp_hasher 像这样(河豚或扩展DES,16轮哈希):global $wp_hasher; $wp_hasher = new PasswordHash(16, FALSE); 我应该将此代码放在哪里,以便自定

  • 针对php代码注入攻击的两种WordPress安全方案的评估

    时间:2014-11-09

    塞纳里奥:我之前发布过一个wordpress php代码注入senario,网址:https://stackoverflow.com/questions/26826082/what-is-the-highly-efficient-way-to-remove-a-block-of-string-pattern-in-php-file我发现这种情况经常发生在wordpress的一些网站上,其结果是导致插件崩溃,或无法登录/wp admin,直到您使用我在上述帖子中提到的耗时方法从所有php文件中删除了所有注入

  • 如何以安全的方式显示发布的元数据

    时间:2014-11-12

    我有一个自定义的post元字段,可以在其中添加嵌入代码(例如,一个视频,一个iframe)。现在,我想从post meta中检索代码并安全地显示它。我可以这样显示它:$embed_code = get_post_meta($post->ID, \'my_embed_code\', true); echo $embed_code; 它工作正常并显示视频。但是如果我使用esc_html 例如:echo esc_html( $embed_code ); 它不起作用。它在页面上显

  • 为什么没有默认限制登录页面费率?

    时间:2014-11-20

    暴力攻击似乎是WP安装上最常见的漏洞,而速率限制应该相对容易作为官方默认软件的一部分嵌入到WP中(无需安装插件)。为什么默认情况下不包括此基本安全功能?

  • 如何正确更新WordPress数据库密码?

    时间:2014-11-24

    我管理的一个网站最近遭到破坏,我正在采取措施加强和重新保护该网站。我想更改MySQL数据库密码,并希望确保我不会关闭该站点(超过一分钟)。我还担心,如果我直接在数据库中手动更改数据库密码wp-config.php 该文件将可见且未加密。例如,如果我在安装时的初始密码是“请”,它将显示在wp-config.php 文件名为“aDQps4txy”。那么,更新数据库密码的最佳方式是什么呢?

  • 为什么我关闭浏览器后WordPress不注销?

    时间:2014-11-28

    默认登录cookie的到期时间为“session”,因此假设当我关闭浏览器时,我需要在访问wp admin时再次登录。但我发现,很多时候我都关闭了浏览器(手动关闭chrome),当我回来时,我仍然可以不用登录就登录。原因是什么?Update: 只有chrome有这个问题,Firefox/Safrai也可以。我在Mac下测试,先关闭浏览器,然后Quit 确保浏览器未运行的应用程序。FF和Safrai都要求我再次登录,但在我关闭浏览器并退出应用程序后,Chrome仍保存了会话。

  • FORCE_SSL_ADMIN not working

    时间:2014-12-04

    知道为什么吗define(\'FORCE_SSL_ADMIN\', true); 不起作用?我没有收到任何错误,但是http 请求收件人example.com/wp-admin 没有重定向到https

  • 站点被多个IP连续访问

    时间:2014-12-11

    我有一个流量很大的wordpress博客,但在过去的两天里,我不断遇到错误“建立数据库连接时出错”。我打电话给我的托管客户服务中心,他们说我的博客经常被一些IP地址访问,他们正在阻止这些IP。但在4到5个小时后,我面临着同样的问题,这一次垃圾邮件发送者正从其他IP发起攻击,每次我都无法致电我的客户服务中心阻止IP。我们有任何word press插件或解决方案吗?谢谢你,湿婆

  • 在一个只有我才会发帖的网站上使用的短码中对输入进行清理很重要吗?

    时间:2014-12-24

    如果我是唯一有权访问管理面板的人,不清理wordpress站点中的短代码是否有任何安全风险?

  • WordPress中的防黑客或安全-这是真的吗?

    时间:2015-01-09

    多年来,我一直使用WordPress作为网站平台,这对我作为开发人员和客户来说都很方便。但最近几个月,我客户的几个网站遭到黑客攻击,我很担心这个问题。如果你不考虑密码brootforcing的选项,黑客如何访问网站的文件系统并上传恶意文件?如果不使用安全插件(例如iThemes Security)来增加负载,它真的能保护站点吗?您对服务器端有什么建议?在没有更新的情况下保护WordPress是真的吗?有时无法自动更新旧项目。有两个网站被黑客入侵:v3。x(可以理解)和v4。x(最新)如果您能给我建议,我将

  • WordPress暴力预防

    时间:2015-01-14

    我使用WordFence安全插件跟踪登录尝试,并定期检查其中的日志。我意识到会有很多用户名为“admin”的登录尝试。大多数人只会尝试几次,而不去访问网站。然而,我有一个更令人不安的特别尝试。我收到了来自意大利的多次登录尝试,每天我都会检查,日志中都充满了来自意大利的新登录尝试。暴力企图使用了错误的用户名,所以我不担心他们进入,但我想限制这些自动攻击。通常我只会屏蔽这样的IP,但问题是这似乎来自许多不同的IP,所有这些IP都与意大利的位置有关。我查看了它们,没有找到任何具有相同IP的。大多数以93开头。x

  • 在插件中写入MySQL凭据

    时间:2015-01-25

    我必须创建一个自定义插件来打印来自不同于wordpress数据库的数据。我正在使用wpdb。从安全角度来看,以这种方式在插件文件中写入数据库credantials可以吗?还是应该以不同的方式进行?<?php function myfun() { $fundb = new wpdb(\'root\', \'password\', \'database\', \'localhost\'); $result = $fundb ->get_r

  • 注册插件-Recaptcha集成

    时间:2015-02-15

    大家好,我目前正在编写一个新的注册插件,我打算实际共享该注册插件,但我想将reCaptcha集成到其中。据我所知,reCaptcha实际上与网站相关;因此,如果我想将其集成到我的插件中,我需要要求网站的用户/管理员实际输入他们的网站密钥来“激活”它?还是我理解错了?

  • Stop Plugin Enumeration

    时间:2015-02-16

    有没有办法停止插件枚举?我尝试了Acunetix WP安全插件,它似乎可以工作,但Yoast SEO插件仍在枚举。欢迎任何插件或代码修改。提前感谢:)

  • 如何清理后元中的选择框值?

    时间:2015-02-20

    我在Post meta中添加了一个选择框。这是代码,它工作得很好。我的问题是,我是否需要在更新post meta之前清理这些值?如果是,应如何进行?下面是我添加元字段的方式:<?php $value = get_post_meta( $post->ID, \'my_options\', true ); ?> <select name=\"my_options\"> <option value=\"option1\" <?php select

  • 如何查看/记录来自注册表(而不是用户界面)的所有请求?

    时间:2015-02-23

    我说的是登记表问题:我有一些来自其他地方的请求-不是来自用户界面。我知道这一点,因为这些请求没有完成所有必填字段,而且由于数据验证(例如,没有名称或有效的电子邮件地址,您无法提交表单),因此无法从用户界面完成此操作我想这是一个安全漏洞,我听说有人可以通过这些请求获得管理员访问权限。问:有没有任何方法(可能是插件)可以记录和解析这些请求,以便了解谁/什么/为什么/如何创建它们?如果需要,请提供更多解释:每次用户提交此注册表时,我都会收到一封包含详细信息(姓名、电子邮件、期限、选择价格)的电子邮件。但有时,我

  • WordPress和静态文件的安全性最高的刹车是什么?

    时间:2015-02-25

    我想用不能修改的Wordpress文件和不能添加新文件的目录来构建我的网站。具有权限的静态内容,无法执行,将由另一个web服务器提供(无法执行php代码)。更新将由更改wordpress根目录和更新数据库提供。我想知道安全刹车会留下什么?我不是说是否存在linux内核漏洞,apache漏洞。我的问题只是关于Wordpress。在Wordpress中,如果文件和目录未被修改,并且所有权限(包括数据库)都正确,攻击者可以使用什么安全制动器?For easy: Admin password was sniffe