您当前的位置:首页 > TAG信息列表 > security
只将.htAccess用于WordPress安全性,无插件
目前,我正在为我的网站使用防弹wordpress安全,但当我安装W3 Total Cache插件时,它会给我带来一些与相关的错误。htaccess文件和防弹wordpress安全再次警告我继续单击创建。再次访问htaccess文件。现在,我的问题是。。只能使用吗。htaccess文件,其中包含完整的安全措施。并且不使用安全插件。?我已经找到了一些可以采取的严格措施。htaccess文件,并将在cpanel中为wp admin和wp login启用目录保护。php那么,我走对了吗。?
清理发送到数据库的复选框值的正确方法是什么
我试过使用sanitize_text_field() 和esc_attr() 在将复选框数据的值保存到数据库时筛选复选框数据,但这会导致数据无法保存。是什么原因造成的以及过滤输入的正确方法是什么checkbox 和radio?
如何在可湿性粉剂导入之前对XML文件进行清理?(从XML文档导入时,WordPress是否验证或清除文本?)
我的任务是导入一个旧的脱机wordpress站点。我有XML导出文件和文件树的tar球。没有什么可以让我担心的,但是WP在导入XML文件时会检查它的内容吗?它是否试图清除任何东西,例如XSS尝试或任何可疑的东西?我希望清理从我没有管理或控制的站点导出的整个XML。最后一位管理员在应用更新时没有那么及时。我可能有点偏执,但我希望在将导入文件引入我管理的服务器之前,确保导入文件是干净的。社区是否建议在输入之前扫描XML文件?
Why should I use the esc_url?
这使得我的编码很困难。Wordpress codex通过含糊其辞地谈论安全性来解释使用esc\\U url的原因。但这真的值得麻烦吗?例如,使用<?php echo esc_url( home_url( \'/\' ) ); ?> 而不是<?php echo home_url() ?> 附言:我说的不是主题开发,而是一个特定的网站。
世界认为是恶意代码的pclzip.lib.php文件是什么
我已经检查了原始wordpress,但这个文件不在那里,但每次我删除它时,这个文件都会回来。你认为这是恶意脚本吗?路径:/wp admin/uploader/pclzip。lib。PHP代码:http://www.phpconcept.net/pclzip/pclzip-downloads
Rss-unctions.php上的完整路径泄漏
我对我的WordPress应用程序进行了一些安全测试,发现它们都在下面的url上有完整的路径泄漏。我相信这之前已经得到了回答,但我找不到任何有关这方面的信息。https://mydomains.com/wp-includes/rss-functions.php转到链接时的错误消息是调用/home/mydomain/public\\u html/wp includes/rss函数中的未定义函数\\u deprecated\\u file()。php第8行我的RSS主题中没有任何内容。编辑:经过进一步研究,这
假设一个主题得到了适当的保护,那么WordPress管理员如何保存呢?
关于中的第3点this (awesome) article 关于mikejolley。com。它指出:永远不要相信用户输入,即使是管理员用户提供的输入,因为:你无法知道用户是他们所说的人</其他脚本可以操作发布的数据我可以理解,不要相信所有用户的输入,这一点很重要,因为具有不同角色的用户可能有恶意。但是说到管理用户,第一点对我来说有点打破了这个概念。如果有人通过让自己看起来像其他人来访问管理区域,那么这一切不是都结束了吗?我的意思是,即使你逃脱并清理一切,黑客难道不能通过保存代码插入后门吗http:
Hash user emails in database?
我有一个基于wordpress的网站,一件非常重要的事情是,没有人应该知道将要管理的人的电子邮件地址。我会将整个网站保密,但我仍在考虑我还能做些什么。所以我有了一个想法,我可以在数据库中散列电子邮件。有人这样做过吗?需要电子邮件地址的功能有哪些?据我所知,只有在创建用户时才需要它,因为密码会发送给用户,然后在重置密码时才需要它。所以我需要修改这些,以便它首先解密电子邮件。还有别的事吗?你认为这作为安全措施没有用吗?
暴力破解即使受IP限制也是如此
我们根据Wordpress的建议对网站进行了安全设置,几个月来我们没有任何黑客企图。尤其是wp登录。php和wp admin仅受IP地址的限制,如下所示:<Files wp-login.php> order deny,allow allow from a.b.c.d deny from all </Files> 今天,根据Wordfence security,我们通过Tor网络进行了黑客攻击。幸运的是,所有的IP地址都被屏蔽了,网站是安全
从外部Web根目录下载文件
我已经设置了一些代码来下载存在于web根目录上方文件夹中的zip文件。下载将从WordPress内的用户帐户页面触发。它们不需要是银行级安全的,但我希望阻止从站点外部直接访问文件,并使其仅可供具有正确权限级别的用户访问,并且只能从相应的用户帐户页面访问。该站点完全是https。zip文件所在的文件夹通过htaccess进行保护。分配给特定用户角色的每个用户将在其“帐户”页面上看到一个下载链接:if(current_user_can(\'download_these_files\')){ $
绕过了.htaccess密码保护
我已经创造了。htaccess密码,以便为WordPress安装添加一层安全性。这个htpasswd文件位于安装上方一层。然而,我看到过暴力攻击试图绕过此登录,直接尝试使用正确的用户名(不是“admin”,而是随机字符串)登录WordPress wpadmin。我知道。htaccess解决方案并不完美。我想知道是否有办法让它更安全?我想知道这次袭击是如何绕过的。htaccess保护,但这可能是一个过于宽泛的问题。欢迎提出任何建议。谢谢PP、 我在使用apache的服务器上运行安装。我的htaccess文件
对网站内的页面使用Google身份验证
我们正试图限制我们网站的某些页面,我们使用谷歌应用程序进行业务,因此我们希望能够利用谷歌认证。不过,我在这个主题上找到的所有内容都是特定于使用谷歌身份验证访问WordPress(比如作为网站管理员)。我们只是想限制我们已发布网站的页面。这可能吗?
可以使用哪些方式登录WordPress?
仅供参考:此信息也已发布here 因为我对这个网站相当陌生,不知道Wordpress部分的存在。很抱歉重新发布我目前正在努力加强网站的安全性,该网站正在wordpress (单独安装,不在wordpress.org/.com上)。我已安装Wordfence 这会阻止所有试图立即使用无效用户名的IP,效果很好(每天大约有200多个被阻止的IP)。因为我们的ISP提供的主机名如下www-xxx-yyy-zzz.my.isp.tld 除我之外,没有需要登录的用户。我想我会添加一些方法来进一步防止暴力攻
访问日志“POST/wp-login.php HTTP/1.0”400
我正在查看访问日志,并尝试了以下几行:IP---[日期和时间]“POST/wp-login.php HTTP/1.0”400。。。有什么问题吗?有人想入侵我的博客?我如何解决?
Allow SVG in WP step by step
我不擅长WP编程,但我试图了解如何在我的站点中启用SVG。我发现需要在下面添加函数functions.php:/** * Add SVG capabilities */ function wpcontent_svg_mime_type( $mimes = array() ) { $mimes[\'svg\'] = \'image/svg+xml\'; $mimes[\'svgz\'] = \'image/svg+xml\'; return
如何绕过WordPress 404处理?
如果有404,我如何完全跳过Wordpress?我已尝试将ErrorDocument添加到。htaccess没有乐趣。我这样问的原因是我们使用了很多自定义字段,因此我们的网站速度很慢,所以我使用了大量缓存来解决这个问题。我们已经看到相当多的对运行漏洞扫描脚本的脚本的攻击,这些脚本每秒会生成许多404,这会使服务器过载。我想,如果我只返回一个简单的html 404文档,那么这将大大减少这些攻击期间服务器上的负载。目前的Wordpress 404对于我来说还不够好,因为它的加载速度仍然比较慢。如有任何建议,将
如何区分黑客攻击和编码错误?
今天早上,我正在使用一个新的图像库插件。在使用它两个小时后,我们的服务器遇到了严重的网络流量问题,然后服务器似乎就坏了。在它关闭前不久,我禁用了该插件,因为我遇到了DB连接问题,并认为这可能是一个兼容性问题。DNS已切换到备份服务器。当我回到原始服务器时,在一个页面上有一些非常小的代码差异。本节取自php模板,而不是呈现的内容下面是一个示例:上一页:<p>Derpa Derp. Derp\'s like to derpa. Foo bar derps continue to inspire u
被黑客入侵。有没有我可以检查的WordPress安全漏洞清单?
我观察到一个文件被上传到我Wordpress网站的各个插件文件夹中。该文件用于从我的服务器发送垃圾邮件,每次我删除它时,它都会上载到另一个文件夹。有数百个IP地址访问该文件,因此如果攻击者拥有大量IP地址池,那么阻止它们可能不会真正有用。然而,我还有另外两个网站使用Wordpress以外的平台,它们没有受到黑客攻击(没有恶意文件上载到这些文件夹),因此我认为攻击者可能依赖Wordpress插件的已知文件夹结构来上载其文件。上传文件上的用户是我的webserver用户[名称非常独特],因此我认为黑客是通过h
如何保护WordPress免受安全扫描程序的攻击
我想知道我们如何保护我们的wordpress站点不受安全故障扫描程序(例如:wpscsan)或提供信息的扫描程序的影响,比如我们的站点是否使用wordpress、插件和主题(例如:What WordPress Theme Is That)?我希望我的问题很清楚。。。
WordPress security
我通过wordpress为我的客户创建了一个网站,并将其上传到他们的服务器上。。我们假设用户可以访问整个服务器。。是否可以通过在数据库中编辑管理员密码或添加需要我权限的脚本来保护此网站不被其他服务器使用。