您当前的位置:首页 > TAG信息列表 > security
/wp-login.php?REDIRECT_TO[]可利用吗?
我有一个wordpress站点,我运行了一个渗透测试工具(当时处于调试模式)它报告了一个(中等严重性)问题,即显示并引用了错误/wp-login.php?redirect_to[]=blah 触发警告时:urlencode() 参数1应为字符串,数组在中给定/home3/.../wp-includes/general-template.php 在线340当我关闭调试模式并重播会话时,发生了重定向,并将我重定向到/数组这让我担心wordpress可能试图以某种可利用的方式评估querystring参数名称。
WP-JSON和它提供了哪些数据?
我刚刚发现/wp-json 它似乎泄露了一些不必要的信息。整个json文件太大,无法扫描所有内容,所以我决定问一个问题。我特别担心的一件事是,它会泄露用户slug。哪种似乎没有必要发布网站作者的用户id。我应该担心吗?还是这很平常?它还提供了哪些其他信息?我应该担心并采取任何预防措施吗?谢谢
在不使用插件的情况下阻止WordPress中的BFA
我使用Ubuntu 16.04 Nginx环境和SSHguard 防止对机器VPS环境本身的暴力攻击(BFA),但我不知道如何在不使用插件的情况下防止WordPress上的BFA。与具有应用层BFA预防机制的Drupal不同,WordPress没有。如果没有像WordFence这样的“复杂”插件,在WordPress admin中防止BFA的最简单方法是什么?最终状态应该是尝试输入x次以上的IP被阻止至少x次(可能是默认值)。Edit: Maybe SSHguard could help with tha
我是否需要在硬编码链接上使用esc_html()函数?
我理解使用某些WP函数时,如site\\u url();您应该使用esc\\u html()对这些内容进行转义;功能如下:<?php esc_html(site_url()) ?> 我的问题是,如果我在首页这样的模板文件中手动输入了站点url。php如下所示:<a href=\"//mysite.com\">My Site</a> 是否仍需要使用esc\\u html()函数?文档中没有提到任何关于这个用例的内容。如果是这样的话,我该怎么做呢?非常感
您需要在哪些WP函数上使用esc_html()或esc_url()?
我遇到过人们使用esc_html() 或esc_url() 具有某些WP功能,如home_url(\'/\'). 示例位于<a> 链接回主页,例如:<a href=\"<?php echo esc_url( home_url( \'/\' ) ); ?>\"> 您如何知道哪些WP函数需要转义,如果您使用esc_html() 或esc_url()?任何建议或指导都会很好。
阻止暴力攻击WordPress的失败2禁令?
无法阻止对WordPress的暴力攻击?是否可以使用fail2ban来代替安装或编写WP插件?
WordPress媒体库允许上传假文件
我创建了一个包含字符串的文件,并将其重命名为example.jpg. 该文件随后通过WordPress媒体库上传,并实际通过。如果同一个文件包含像EICAR病毒签名这样的恶意代码,这就不好了。有没有办法避免这种情况?我在看wp_check_filetype_and_ext 函数,但不确定它是否是解决问题的正确方法。
竞争对手正在以某种方式访问隐藏的WordPress站点上的元数据
我们有一个Wordpress网站,只用于直接流量-它没有主页或分类页等,只有人们直接链接到的单个页面。它们没有密码保护,但该网站设置为不被搜索引擎索引。最近,一位竞争对手幸灾乐祸地表示,他能够访问元数据,包括网站上所有页面的列表和网站作者。我只是浏览了一下网站,并对其进行了审核。我已经验证了搜索查询已停用,并且没有任何页面显示在谷歌上。竞争对手还可以如何访问我们的元数据?非常感谢您的任何帮助。
阻止编辑者添加脚本或表单
出于安全原因(例如,防止编辑器创建模拟登录表单的表单并将凭据发送到任何地方),我们希望禁止编辑器将JavaScript或表单插入页面。有没有办法做到这一点?
如何从Linux命令行完全禁用XML-RPC?
我读到了this guide 关于利用SSHguard 为了保护WordPress免受暴力攻击,在以相关方式配置SSHguard后,必须:通过阻止对/xmlrpc的所有远程访问来禁用XML-RPC。web服务器配置中的php。我的任何网站都不使用XML-RPC。我使用Nginx作为我的web服务器。我不确定完全阻止XML-RPC的最佳方法是什么。每个站点的Nginx conf?每个站点的WP-CLI操作?通常的做法是什么?
在安全插件之间切换是有风险的吗?
多年来,我一直使用同一个插件来保护我的客户网站。该插件通过更改登录URL、设置验证码问题、禁用文件编辑等方式帮助我保持网站的安全。我意识到这个插件并不像其他竞争对手那样得到支持和更新。出于这个原因,我决定在我所有的网站上切换插件。我现在的问题是:当从一个插件切换到另一个插件时,旧插件中的一些文件是否会保留下来,并与新插件产生冲突(和安全问题)?有什么建议吗?
WordPress准备好遵守GDPR了吗?
WordPress准备好遵守GDPR了吗?是否有任何补丁或延期,他们需要为所有欧盟国家申请GDPR,因为这是欧盟国家的法律,将于2018年5月25日生效。
在哪里存储可公开访问的文件
我建立了一个wordpress网站,要求用户登录才能访问内容。然而,我想公开一些文件。到目前为止,我找到的唯一线索是建议在wp内容文件夹下创建一个新文件夹,但这不起作用。E、 g。http://yoursite.com/wp-content/public/readme.txt 重定向到登录页面。
将wp-config.php移出根文件夹,我们在根文件夹中有多个WordPress网站以增强安全性
我已移动wp配置。php,但我的文件结构如下所示:public_html --abccom --applecom --wp-config.php abcom 和applecom 文件夹中有wordpress网站bothAs建议,我已移动wp-config.php 外部abccom 为了安全,但现在当我需要为applecom做同样的事情时,我如何才能实现它?https://webdesign.tutsplus.com/tutorials/how-to-secure-your-
是否有默认的元盒类型来处理类型和清理?
我接到了第一个WordPress项目的任务。这是一个涉及自定义插件开发的项目。在查看添加自定义帖子类型的文档时,我发现了meta-box函数。我有点困惑。WordPress是否要求其开发人员手动保存、清理和验证所有元框?对于文本、textarea和类似的简单数据,是否没有预构建选项?实际上,我的问题可能归结为注册自定义帖子类型和元框,并手动处理上述正确路径,同时开发用于注册不同事件的插件,例如,包括日期、街道地址等输入。谢谢
我是否需要转义Get_the_Post_Thumb函数?
我正在为WordPress开发一个WordPress主题。组织。我需要逃跑吗get_the_post_thumbnail 作用我想在循环之外使用它。所以我不能使用the_post_thumbnail. 如果我需要逃跑,请告诉我get_the_post_thumbnail 如果是,我该怎么做?提前谢谢。
强制使用强用户密码并实施规则以防止重复使用
我正在寻找一种在WordPress backoffice上创建重置和更改用户密码时强制使用强密码的方法。密码复杂性的长度必须至少为12个字符,并且至少有一个大写字母、一个小写字母、一个数字和一个特殊字符。管理员角色的密码必须至少每45天更改一次。其他用户的密码必须至少每90天更改一次。必须实施密码历史记录规则以防止重复使用。谢谢UPDATE :关于存储密码以防止重复使用。有一个插件:https://wordpress.org/plugins/prevent-password-reuse/对于密码策略,我找
禁用WordPress升级页面
出于安全考虑,我想禁用以下地址:/升级php它提供了有关所用wordpress版本的信息。
WordPress谨慎问题--完全禁用css的所有评论-足够安全吗?
我有一个网站,原则上我想完全禁用所有评论发布窗口/所有评论功能。我可以给出如下CSS指令:#comment-section, .respond {display: none} 这是删除任何评论功能的安全方法吗?
禁用所有现有帖子(页面/博客帖子)的评论窗口
是否有WP-CLI命令来禁用所有现有帖子(页面/博客帖子)的评论窗口?我这样问是因为当我为一个我拥有的站点更改主题时,该站点中的所有页面都会再次获得它们的评论窗口,我需要分别禁用每个页面的评论。在这个特定的站点中,我有多达10个网页,但无论如何,我都希望使用WP-CLI。有可能吗?如果您不知道使用WP-CLI的方法,请至少分享您知道的另一种好方法。