WordPress中有没有留下不安全的http://URL?

时间:2019-09-05 作者:President James K. Polk

现在几乎所有内容都应该是https。

我刚刚检查了5.2.3 php文件(844个文件,365741个非空行——yikes!!)并找到了一些可能是真实的参考资料。我之所以说“可能”,是因为很难知道在某些php函数中深入构建http url会怎么样。我刚开始学习WordPress和php,所以现在有点不知所措。

例如,在wordpress/wp-activate.php 这些线是:

printf(
    /* translators: 1: site URL, 2: username, 3: user email, 4: lost password URL */
    __(\'Your site at %1$s is active. You may now log in to your site using your chosen username of &#8220;%2$s&#8221;. Please check your email inbox at %3$s for your password and login instructions. If you do not receive an email, please check your junk or spam folder. If you still do not receive an email within an hour, you can <a href="%4$s">reset your password</a>.\'),
    sprintf(\'<a href="http://%1$s">%1$s</a>\', $signup - > domain),
    $signup - > user_login,
    $signup - > user_email,
    wp_lostpassword_url()
);
sprintf() 网站url似乎是使用http://形成的。这段代码存在于两个else子句中,据我所知,只有在检测到该站点使用http运行时,才可能出现这段代码。

是否已审核WordPress代码库中是否存在不安全的http:URL?

1 个回复
SO网友:Ted Stresen-Reuter

在代码库中搜索非SSL引用是一个明智的想法,您可能应该报告在hackerone.com (披露WordPress漏洞的地方)。

我还建议您查看WordPress Security page 在wordpress上。组织。

为了回答您的问题,我想说WordPress已经被内部WordPress团队和无数外部安全专家广泛审计了各种安全漏洞,Hackerone报告的作者证明了这一点。您可以看到security updates here. 我查看了最新的安全更新(追溯到4.7分支,2017年1月),发现了以下对SSL和HTTPS的引用:

标签: security   https   http   小码农  

相关推荐

为什么选择https://www.WP将子域重定向到https://MAINdomain

嗨,能解释一下为什么吗https://www. 子域未重定向到https://non-www.sudomain我正在运行nginx,似乎设置了所有重定向,但上面的一个似乎被Wordpress错误地重定向了,我有所有A记录,2个用于有无www的主域http版本,2个用于https记录。我的配置重定向如下。WordPress地址(URL)和网站地址(URL)设置为https://maindomain 不确定这是否是问题以及如何解决 #Main domain confing server {&