Pytania otagowane jako security

Wzmocnienie motywów, wtyczek i instalacji rdzenia, aby zapobiec włamaniom.

8
Czy przeniesienie wp-config poza katalog główny jest naprawdę korzystne?
Jedną z najczęstszych najlepszych praktyk bezpieczeństwa w dzisiejszych czasach wydaje się być przenoszenie o wp-config.phpjeden katalog wyżej niż katalog główny vhosta . Nigdy tak naprawdę nie znalazłem dobrego wytłumaczenia tego, ale zakładam, że minimalizuje to ryzyko złośliwego lub zainfekowanego skryptu w katalogu głównym od odczytu hasła do bazy danych. Ale …
12
Weryfikowanie, czy w pełni usunąłem hack WordPress?
Mój fajny blog WordPress na http://fakeplasticrock.com (z WordPress 3.1.1) został zhakowany - wyświetlał się <iframe>na każdej stronie tak: <iframe src="http://evilsite.com/go/1"></iframe> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> Zrobiłem następujące Aktualizacja do wersji 3.1.3 poprzez wbudowany system aktualizacji WordPress Zainstalowałem skaner Exploit (wiele krytycznych ostrzeżeń o …
105 security  hacked 
3
Jak chronić przesłane pliki, jeśli użytkownik nie jest zalogowany?
Używam wordpress na prywatnej stronie, na której użytkownicy przesyłają pliki. Używam „Prywatnego WordPressa”, aby uniemożliwić dostęp do strony, jeśli użytkownik nie jest zalogowany. Chciałbym zrobić to samo z plikami przesłanymi w folderze uploads. Jeśli więc użytkownik nie jest zalogowany, nie będzie mógł uzyskać dostępu do: https://xxxxxxx.com/wp-content/uploads/2011/12/xxxxxxx.pdf, jeśli spróbuje uzyskać dostęp, …
11
Czy mogę zmienić nazwę folderu wp-admin?
Czy można zmienić nazwę folderu wp-admin? Wiem, że mógłbym po prostu zmienić jego nazwę, ale jeśli nie jest to obsługiwane przez kod, wiele rzeczy by się zepsuło. Jeśli użyję niestandardowej nazwy folderu, spowoduje to, że będzie ona nieco bezpieczniejsza, bezpieczeństwo przez niejasność i tak dalej.
3
Jakie obawy dotyczące bezpieczeństwa powinienem mieć przy ustawianiu FS_METHOD na „direct” w wp-config?
Ostatnio miałem problem z tym, że nie byłem w stanie zainstalować wtyczki WP Smush Pro, ponieważ nie mam dostępnych opcji instalacji ręcznej ani instalacji jednym kliknięciem. Natknąłem się na ten post, który sugerował dostosowanie ustawień w wp-config.php. Dodałem sugerowane ustawienia, jednak najważniejsze wydaje się: define('FS_METHOD', 'direct'); Co chciałbym wiedzieć, jest …
1
Warto ograniczyć bezpośredni dostęp do plików motywów?
Od czasu do czasu natrafiam na następujący fragment motywu: if ( ! defined('ABSPATH')) exit('restricted access'); Jest na początku niektórych (wszystkich?) Plików PHP w motywie i ma zapobiegać bezpośredniemu dostępowi do pliku przez nikczemne źródła. Widzę, że nie jest to uwzględnione w dwudziestu dziesięciu lub jedenastu i nigdy nie widziałem, aby …
4
Interfejs API REST WordPress 4.7.1 nadal udostępnia użytkowników
Zaktualizowałem WordPress do 4.7.1, a potem próbowałem wyliczyć użytkowników za pomocą REST API, co powinno zostać naprawione, ale udało mi się odzyskać użytkowników. https://mywebsite.com/wp-json/wp/v2/users Wydajność: [{"id":1,"name":"admin","url":"","description":"","link":"https:\/\/mywebsite\/author\/admin\/","slug":"admin","avatar_urls":{"24": ... Dziennik zmian z najnowszej wersji: Interfejs API REST ujawnił dane użytkownika dla wszystkich użytkowników, którzy byli autorami postów typu publicznego. WordPress 4.7.1 ogranicza …
3
Jak najłatwiej powstrzymać WP przed wylogowaniem mnie
Po pewnym czasie WP wylogowuje wszystkich użytkowników i zmusza ich do ponownego zalogowania. W przypadku środowisk programistycznych na moim komputerze lokalnym jest to nieprzyjemne i absolutnie niepotrzebne. Czy istnieje oparty na API sposób wyłączania automatycznego wylogowywania na czas nieokreślony? Idealnie chciałbym coś, co mogę dodać wp-config.phpwraz z innymi ustawieniami związanymi …
4
Czy jest jakiś sposób na zmianę nazwy lub ukrycie wp-login.php?
W jakikolwiek sposób zmienić adres URL wp-login.php? Wydaje się niepewne, że każdy, kto kiedykolwiek korzystał z Wordpress, mógł łatwo sprawdzić, czy witryna go używa, i przejść bezpośrednio do strony logowania. Kiedyś istniała wtyczka o nazwie „Stealth login”, ale nie była aktualizowana. (I stąd nasza niechęć do polegania na wtyczkach).
26 login  security 
13
Jakie są najlepsze praktyki bezpieczeństwa dotyczące wtyczek i motywów WordPress? [Zamknięte]
W obecnej formie to pytanie nie pasuje do naszego formatu pytań i odpowiedzi. Oczekujemy, że odpowiedzi poparte będą faktami, referencjami lub wiedzą specjalistyczną, ale to pytanie prawdopodobnie będzie wymagało debaty, argumentów, ankiet lub rozszerzonej dyskusji. Jeśli uważasz, że to pytanie można poprawić i ewentualnie ponownie otworzyć, odwiedź centrum pomocy w …
2
wp_verify_nonce vs check_admin_referer
Jaką różnicę powinienem zastosować? Wiem, że wp_verify_nonce sprawdza limit czasu, a check_admin_referer myślę, że wywołuje wp_verify_nonce, a także sprawdza segment adresu URL administratora, ale jestem nieco zdezorientowany, który powinienem użyć i kiedy. Dzięki za jasność.
21 admin  security  nonce 
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.