您当前的位置:首页 > TAG信息列表 > security
将WordPress升级到4.2.2后标题已发送错误
在wordpress版本3.6和3.7中,一切都很好,但在版本4和更高版本中,我得到:Cannot modify header information - headers already sent 问题是:header(\'Location: \'. $redirect 新版本中是否有一些安全脚本?如何覆盖它?
在用户输出中使用什么来代替wp_kses()
我需要一些帮助。在开发主题时,我想确保没有安全问题。因此,所有动态数据都必须在呈现的上下文中正确转义。我知道如何逃避以下情况:如果属性中有“echo”,请使用esc_attr</如果类属性中有“echo”,请使用sanitize_html_class</如果“echo”为纯文本,请使用esc_html</如果翻译中出现“echo”,请使用esc_html__, esc_html_e, esc_attr_e, 等等,但有两个方面我不知道该怎么办。如果用户输出可能包含一些html标记,如“e
在wp-config中将FS_METHOD设置为“DIRECT”时,我应该有什么安全顾虑?
我最近遇到了一个问题,我无法安装WP Smush Pro插件,因为我没有手动安装或一键安装选项。我偶然发现this post 建议在中调整设置wp-config.php. 我添加了建议的设置,但最重要的是:define(\'FS_METHOD\', \'direct\');我想知道的是,我应该对设置有什么真正的担忧FS_METHOD 到direct? 除了安装插件,还有其他选择吗?这就是官方文件所说的:FS\\u方法强制使用文件系统方法。它只能是“direct”、“ssh2”、“ftpext”或“ftps
处于阿帕奇状态的奇怪搜索查询
我正在运行一个流量很大的wordpress网站,我的服务器负载非常高,在检查apache状态时,我发现大量的wordpress搜索像这样/?s=\\\"khabarnaak\\\"&id=39790 HTTP/1.0 这看起来不像是正常的搜索,这是某种攻击吗?或者插件有什么问题?我如何深入研究或找到根本原因
“身份验证唯一密钥和盐”功能是如何工作的?
我试图找到一些关于WordPress中身份验证密钥和盐如何工作的信息,但不幸的是,我找不到任何有用的信息。我所得到的只是这些键应该是随机的,长的,并且彼此不同。它们应设置在wp-config.php 因为它们通过“确保更好地加密存储在用户cookie中的信息”来“极大地提高了网站的安全性”。我实际上有一些问题,不仅仅是一个,但我认为它们应该放在一个线程中,因为它们是密切相关的。“更好的信息加密”到底是什么意思?我的意思是,与没有钥匙的情况相比。为什么我需要8把钥匙,而不是一把?从名字来看——AUTH, S
有多少安全插件是太多了?
我目前在WordPress上安装了三个安全插件,其中一个是我付费订阅的。你认为这有点过分吗?我采取了很多措施来保护我的WP站点,我担心一个插件可能会影响其他插件的安全。所以我不确定我需要这三个。它会弊大于利吗?还是吃得更多更好?
RESTRICT EDIT of PHP files?
我想限制所有管理员对任何php文件的编辑权限(如Theme+plugin editor 等等……)我开发了一个插件,名为System Edit Restriction.目前,我使用此代码进行限制:define( \'DISALLOW_FILE_EDIT\', true ); define( \'DISALLOW_FILE_MODS\', true ); $restricted_places = array(\'widgets.php\',\'widgets.php\',\'user-new
Cookie中包含令牌的目的是什么?
WordPress利用Cookie实现更好的安全性,我一直在努力了解这究竟是如何让WordPress网站更安全的,我发现this article . 有一个相当不错的解释,但它涉及到3.9版本,所以有点过时。我比较了当前WordPress代码的来源和本文中的示例,有一点我不明白。饼干看起来像这样:Set-Cookie: wordpress_urlhash=user|timestamp|hash 在那篇文章中,那家伙说我们可以预测wordpress_urlhash, user, timestamp
什么是最安全的方式来输出管理员在主题设置中输入的自定义JavaScript和CSS代码?
我正在创建一个主题,在这个主题中,我为管理员创建了选项,以便在“主题设置”页面(使用options API创建)中输入自定义Javascript和Css代码。现在我不知道如何以最好的方式输出这段代码。对于我决定使用的Csswp_add_inline_style() 更新css文件,对于JavaScript,我只是在wp_footer() 标记,如下所示:if ( $custom_js != \'\' ) { ?> <script id=\"theme-custom-js\">
出于什么安全原因,在媒体上传器中阻止svg?
我看到SVG在媒体上载程序中默认被阻止,您必须将其作为受支持的MIME类型添加到函数中。php。这背后的安全原因是什么?
保护共享主机上的多个WordPress安装
大多数共享托管包将给定用户的所有文件存储在/user/myuser/www/ 或/var/html.加载项域通常位于/var/html/domain1.com/, /var/html/domain2.com.是否有方法(使用.htaccess)防止一个加载项域访问另一个域的文件,以及防止潜在的恶意脚本(例如恶意主题)读取、执行或将文件写入另一个加载项域的文件夹?这样,如果一个站点被破坏,其他站点将不会受到影响。我意识到这不是加强WordPress安装安全性的唯一必要步骤,但它是防止潜在漏洞造成太大破坏的良
如何用WordFence设置Fail2ban?
我发现了一篇关于设置Wordfence和fail2ban的博客文章,但它相当useless 因为没有提到任何技术活动。只是作者总共花了5个小时。我想在5小时内用Wordfence自己设置fail2ban。如果我必须自己解决问题,花更多的时间,我想把它记录下来,这样其他人可以在不到5个小时内完成。因此,这里的问题是:如何使用Wordfence设置fail2ban?快速入门:sudo apt-get install fail2ban wp plugin install --activate wordf
安全是WordPress的一个问题吗?
我打算为他的汽车店建立一个大的公司网站,这个网站应该更安全。Wordpress可以创建一个安全可靠的网站吗?据我所知,Wordpress黑客通过一些易受攻击的插件入侵Web服务器。这是真的吗?如果我建立一个没有任何插件的网站呢?那么Wordpress会安全吗?
在不放置http或https的情况下将字体样式排入队列安全吗?
我已经看到一些WordPress网站和教程将这样的字体排队。这是否适用于http和https站点?这样做安全吗?在http站点上测试此函数时,我在源代码中看到了这些精确的URL。add_action(\'wp_enqueue_scripts\', \'theme_external_styles\'); function theme_external_styles(){ wp_enqueue_style( \'main_css\', \'//maxcdn.bootstrapcdn.c
对提要进行密码保护,并使其在主要聚合器中可用
我所在的WordPress网站使用WordPress默认的基于cookie的身份验证。这意味着页面的RSS提要受密码保护,只有当cookie可用时才能读取。不幸的是,这使得无法将提要包含到提要阅读器中,如Feedly, Inoreader, 或Slack.有没有一种方法可以导出页面的提要,使其受密码保护,并且可以在主要的提要聚合器中使用?
更改现有WordPresss站点的表前缀
希望有人能为已经建立的网站提供Wordpress表前缀帮助。在DB和wp config文件中更改现有表前缀以反映新表前缀的最佳方法是什么。实际上,这更多的是需要对后端数据库进行更改。是否有一个像样的插件,或者有人可以告诉我所需的手动步骤。只是担心我可能会引起DB的问题。谢谢
WP_LOGIN_FORM在不安全的页面上安全吗?
我正在非安全(http)网站上使用wp\\U login\\u表单。表单位于模式窗口中,因此您可以从网站上的任何页面登录。以这种方式使用wp\\u login\\u form()安全吗?谢谢Sascha
如何检查插件中的恶意代码?
我们的新托管公司对我们的安装进行了安全检查,听说我们购买的高级插件(Easy Media Gallery Pro)包含恶意代码,我非常惊讶。(这可能只是巧合,但我们的网站在升级到该插件的Pro版本时遭到了黑客攻击。)无论如何,我想知道是否有任何可靠的实用程序可以对插件执行可靠、独立的安全检查before 我在我的网站上安装了它??
无法重置WordPress密码
我已经多年没有登录我的博客了,当然,我忘记了密码。我点击“忘记”按钮,收到一封带有链接的邮件,但那封邮件上已经写着抱歉,该密钥似乎无效。并向我发送单击重置、接收邮件、再次单击链接等消息,好像密码重置的超时时间已设置为0.5s或其他。这是一个共享托管博客,所以我可以通过FTP完全访问cPanel和所有WP文件,如果这有什么帮助的话。
如何在用户从站点注销时删除受Passwrd保护的帖子Cookie
我想删除所有设置为密码保护帖子的cookie,当用户在浏览这些密码保护帖子后从站点注销时。是否有任何功能可以执行此操作?