您当前的位置:首页 > TAG信息列表 > security

  • 在用作IFRAME的单个页面上强制使用SSL

    时间:2015-11-16

    我有一个WordPress页面,它只包含一个滑块的短代码,并且被其他网站用作iFrame。我需要强制SSL one这一个页面,但无论我尝试什么,它都不会被重定向。我已尝试通过以下功能实现它:function yst_ssl_template_redirect() { $page_id = 498; if ( is_page( $page_id ) && ! is_ssl() ) {

  • 避免“上传”777权限:潜在威胁还是干净的解决方案?

    时间:2015-11-17

    最近更改了网站的托管,发现WordPress的上载目录“不可用”。我一直在读到,将文件夹权限设置为777将允许一切正常工作,但我认为这是一个很大的安全问题,肯定是未来的问题。场景:该文件夹(及其内容)的权限为755,管理帐户是其所有者/组,WordPress在web CMS的媒体仪表板中工作不正常。因此,我想出了一个解决方案,实际上是我的问题:溶液(?)搜索执行web服务器的用户(NginX、Apache、Cherokee等):ps-aux以递归方式将该用户指定为wp\\U内容/上载的所有者/组:chmo

  • 为什么WordPress有不止一种盐?

    时间:2015-11-18

    我想我在这里暴露了一些安全知识的不足,但仅仅吃一点盐难道不够吗?为什么需要四种不同的盐?define(\'AUTH_SALT\', \'z(ly|p-aeKf^I~OfOUUIL&Y?C5Z.iu|L}kY%dvclq.h9n`)MlZe6\'); define(\'SECURE_AUTH_SALT\', \'NIY8g>=l9y~eV~WLu 3n>UG#3wSl4YfT%;z9`7m9Gk/k_Vn4`ej8\'); define(\'LOGGED_I

  • 如何找到有后门登录码的WordPress站点

    时间:2015-11-21

    这是一个非常常见的问题。在GPL下的WordPress插件目录中有大量可用的插件。许多插件都有一些backdoor login attempts. 所以,不能相信哪个插件是正确的。如果我需要使用未知插件。我没有什么疑问,如何找到后门登录问题</防止后门登录的所有预防措施是什么</有许多插件可用于检查安全问题。所以不要在这里建议任何插件,因为我不能信任插件,这就是为什么我开始知道找到它的可能方法And please don\'t vote it down. 因为我需要可能的方法来防止后门登录问题

  • Limit access to wp_admin

    时间:2015-11-30

    我试图通过IP地址限制对wp\\U admin的访问,但仍有一些正在通过。我在wp\\u admin文件夹中有一个htaccess文件,其中包含以下内容:# Block access to wp-admin. order deny,allow allow from x.x.x.x deny from all 我通过尝试从列表中未列出的IP地址访问登录页来测试该实现,它似乎正在工作。我已经安装了Wordfence,并且我继续收到不在我列表中的IP的登录尝试失败通知。这种安

  • Wp-includes/证书/ca-bundle.crt的用途是什么?

    时间:2015-12-02

    我在Wordpress网站上工作,偶然发现了那个证书。我想知道这是干什么用的。Wp是否以任何方式使用它?我可以删除它(或将其移到文档根目录之外)吗?谢谢

  • 开发安全的前端发布表单

    时间:2015-12-03

    我想在我的Wordpress网站中添加前端发布功能。为了更好地控制并更好地理解其工作原理(我不是专业程序员),我选择使用wpkb.com 现场(见以下代码)。这个解决方案可行,但问题是how it is protected against security issues/malicious attacks? 其次,当提交新帖子时,它会被保存,但也会生成通知,我不明白为什么:注意:未定义变量:hasError in/从前面提交。php在线106这是106线://Check if any error was

  • 开发安全的前端帖子编辑表单

    时间:2015-12-13

    我想在我的Wordpress网站中添加前端后期编辑功能。我找到了一些这样做的插件,但它们不能满足我的所有需要,所以我决定进行调整an existing solution 开发一个我自己的插件,该插件将返回一个前端编辑表单的短代码。我的插件可以工作,我可以编辑和保存帖子,但是I can\'t solve a warning 和I don\'t have (yet) sufficient knowledge to make this plugin more secure. 有什么建议吗?警告:警告:无法修改标

  • 在WordPress中,哪里可以安全地存储API密钥和密码?

    时间:2015-12-19

    我希望使用一些API,其中许多API都带有工作所需的密钥、密钥和密码。您可以在WordPress中的何处存储这些信息?假设有人可以入侵你的数据库,WordPress是否可以让保存这些信息更加安全?此外,考虑经常更改这些键的能力,以便我需要更新选项页面上的键。更新Mossack Fonseca Breach – WordPress Revolution Slider Plugin Possible CausePanama Papers: Email Hackable via WordPress, Docs

  • 如何通过特定静态IP限制对管理仪表板的访问?

    时间:2015-12-22

    我试图通过添加特定的静态ip来限制对管理仪表板(wp admin.php)的访问。HTWP管理员访问权限和设置<FilesMatch \"admin\\.php$\"> Order deny,allow Deny from all Allow from 10.0.0.0/24 </FilesMatch> 但不起作用并尝试安装bulletproof plugin 也可以更改<IfModule !mod_authz_core.c>&

  • 用于存储安全文件的目录

    时间:2015-12-23

    我有一个网站托管在ASP。NET服务器,并使用wordpress构建我的网站。我已经使用PHP代码扩展了它的功能。我应该在哪个目录中存储安全文件,例如(密码和证书.pem)?我的服务器具有以下结构:-/ -/mywebsite.com -/data -/logs -/wwwroot -/wp-admin -/wp-content -

  • 站点在HTACCESS IP限制后获得登录尝试

    时间:2015-12-23

    我正在使用一个安全插件,它不断向我发送电子邮件:“由于登录尝试失败次数过多或用户名无效,发生锁定事件:用户名:AdminIP地址:195.154.243.31IP范围:195.154.243*登录站点的WordPress管理面板查看锁定的持续时间或解锁用户。“”我试图阻止对wp admin文件夹的访问,并使用以下代码创建htaccess文件:order deny,allow deny from all allow from <my ip> 在根htaccess中,我还

  • Adding Security Keys?

    时间:2015-12-24

    我读了《法典》上的一段Security Keys. 它提供了一个示例-define( \'AUTH_KEY\', \'t`DK%X:>xy|e-Z(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|\' ); define( \'SECURE_AUTH_KEY\', \'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj\'

  • 重命名从WordPress.org下载的主题文件夹好吗?

    时间:2017-01-02

    出于安全原因,我想将WordPress主题文件夹重命名为其他名称。示例:我从WordPress主题目录(abc)下载了一个主题,并将其重命名为(xyz)。我的问题是,(xyz)主题是否会从WordPress自动更新?将WordPress主题重命名为其他名称好吗?还是一个坏主意?

  • Redux框架不知何故添加到我的网站,在插件中找不到

    时间:2017-01-02

    我已经在一个网站上工作了一年多,刚刚注意到Redux框架不知怎么的已经在这个网站上了。当我转到“工具”>“备份”时注意到了它,并在“工具”中看到了它。点击它,可以看到整个What\'s New页面以及其他标签页都在谈论它。我是唯一一个在至少6个月内安装任何东西或升级的人。网站所有者对此进行确认。转到插件查看Redux框架,但没有看到它已安装。检查了我的主题的函数文件,没有看到它被调用。同样的主题已经生效至少6个月了(我把它改成只做故障排除)。我如何定位这是什么?这个框架的存在是否意味着该网站已被黑客

  • 直接从POST请求中获取的‘Pages’和‘POSTS_PER_PAGE’参数是否存在安全问题?

    时间:2017-01-11

    我想知道这是否会带来任何安全风险:$current_page = $_POST[\'page\']; $posts_per_page = $_POST[\'posts_per_page\']; $result = new \\WP_Query([ \'posts_per_page\' => $posts_per_page, \'paged\' => ++$current_page, \'post_type\' =>

  • WordPress 4.7.1 REST API仍在向用户公开

    时间:2017-01-13

    我已将WordPress升级到4.7.1, 之后,我尝试通过REST API枚举用户,这应该是固定的,但我能够检索用户。https://mywebsite.com/wp-json/wp/v2/users 输出:[{\"id\":1,\"name\":\"admin\",\"url\":\"\",\"description\":\"\",\"link\":\"https:\\/\\/mywebsite\\/author\\/admin\\/\",\"slug\":\"admin\",\"avata

  • 担心清理插件定制的css中的管理员输入明智吗?

    时间:2017-01-18

    在众多插件和主题中,开发人员将为管理员级用户提供一个选项,让他们输入自己的额外CSS(显然是为了定制输出)。一些插件和主题还提供了添加Javascript的选项。在大多数情况下,输入将从textarea发布,并添加到现有的样式表文件或发送到wp_head. 通常,包括拥有100000用户的插件,唯一的安全措施是nonce。现在,对我来说,对于这个特定的功能来说,暂时的情况似乎已经足够了:如果一个站点已经被破坏到具有管理员权限的用户自己输入恶意脚本的程度,那么这种情况似乎相当绝望。。。然而,一些开发人员似乎

  • 谁负责WordPress开发中的数据清理?

    时间:2017-01-19

    我正在研究如何通过在必要时实现验证、清理和数据转义来编写更安全的WordPress代码。验证和逃避很有道理,但我对消毒有点困惑。如果我使用如下函数add_post_meta, 这个函数是否为我进行消毒?那么...怎么样set_option 或其他与数据库交互的。我通常通过这些函数与数据库交互。在哪些情况下,我需要自己担心消毒?

  • 我应该如何处理被黑客入侵的服务器?

    时间:2017-01-25

    我的(托管的)专用服务器有几个站点(并非所有站点都使用WP)被黑客攻击。模糊代码已附加到所有文件(包括WP核心/插件/主题和非WP内容)中,其中内容以php命令开头(而不仅仅是所有后缀为.php的文件)。它似乎不会影响呈现的页面,据我所知,这是一个后门/特洛伊木马程序,我所知有限。今天,我发现权限更改为200,我怀疑这可能是我的服务提供商所为(虽然我还没有收到通知,也没有回答我的“你有没有…”问题)。我对代码的功能很好奇,尽管解码它并不值得,因为它在某种程度上显然是“坏事”。我想找出损坏的程度、原因,并防