Pytania otagowane jako security

Wzmocnienie motywów, wtyczek i instalacji rdzenia, aby zapobiec włamaniom.

3
Co haker może zrobić z moim wp-config.php
Próbuję zabezpieczyć mojego bloga wordpress. Czytam kilka postów w sieci, które powinienem zmienić table_prefixi ukryć wp-config.php. Jednak nie rozumiem? Co może zrobić atakujący z moim wp-config.php? Mam na myśli, że istnieją moje konfiguracje bazy danych, ale osoba atakująca potrzebuje mojej, DB_HOSTna przykład, co nie jest takie łatwe do uzyskania, aby …

1
proste rozwiązanie ograniczające dostęp do (niektórych) przesyłanych / pobieranych plików
Sytuacja początkowa W przypadku witryny, którą konfiguruję, analizowałem całą dziedzinę zabezpieczania przesyłania / pobierania i ograniczania dostępu do nich na podstawie ról / możliwości użytkowników. Oczywiście przeczytałem kilka poprzednich pytań związanych z (ogólnym) tematem tutaj, ze względów referencyjnych najważniejsze / interesujące, które znalazłem: Jak chronić przesłane pliki, jeśli użytkownik nie …

2
Czy nonces są bezużyteczne?
To prawdopodobnie pytanie noob, ALE wysłuchaj mnie - czy nie ma sensu używać Nonce do ochrony przed takimi rzeczami jak złomiarki (skrobaczki phpcurl itp.)? Ale moja Nonce drukuje w nagłówku dokumentu tak: /* <![CDATA[ */ var nc_ajax_getpost = { ...stuff... getpostNonce: "8a3318a44c" }; /* ]]> */ Więc gdybym budował szybki …
11 security  nonce 

2
Gdzie bezpiecznie przechowywać klucze API i hasła w WordPress?
Chcę użyć kilku interfejsów API, a wiele z nich zawiera klucze, tajne klucze i hasła wymagane do działania. Gdzie w WordPress można przechowywać te informacje? Zakładając, że każdy może zhakować twoją bazę danych, czy mimo to WordPress może zabezpieczyć zapisywanie tych informacji? Zastanów się także nad możliwością częstej zmiany tych …

3
Wyłączone wtyczki to dziury w zabezpieczeniach - plotki czy rzeczywistość?
Czytałem wiele artykułów na blogu WordPress Security, w których eksperci ds. Bezpieczeństwa zalecają specjalne kroki, aby zachować ostrożność, gdy ktoś jest zaniepokojony bezpieczeństwem swojej witryny WordPress. Jeden z nich jest: Wskazówki dotyczące bezpieczeństwa WordPress: Usuń niepotrzebne wtyczki, które nie są używane. Wtyczka zawierająca luki w zabezpieczeniach, czy to przez kod, …
10 plugins  security 

1
Z punktu widzenia bezpieczeństwa należy uciec od bloginfo () lub get_bloginfo ()?
Przeglądałem wiele informacji na temat bezpieczeństwa motywu WP i wtyczek i rozumiem pojęcie, że należy unikać atrybutów i wartości HTML w motywach i wtyczkach. Widziałem bloginfo()i echo get_bloginfo()użyłem zarówno standardowej, jak i wewnątrz funkcji esc_html()lub esc_attr(). Geneza i _s , podstawowy motyw Automattic, zarówno uciekają od tych wartości, ale własny …

3
Filtrować dowolny identyfikator URI żądania HTTP?
Chcę odfiltrować dowolny identyfikator URI żądania HTTP wykonany za pośrednictwem interfejsu API HTTP. Przypadków użycia: Sprawdzanie aktualizacji WordPress przechodzi do http://api.wordpress.org/core/version-check/1.6/ , ale https://api.wordpress.org/core/version-check/1.6/ też działa, i chcę używać tego zawsze. Nowy plik WordPress pochodzi z http://wordpress.org/wordpress-3.4.2.zip , ale https://wordpress.org/wordpress-3.4.2.zip również działa. Czasami chcę debugować żądania i przekierowywać je tymczasowo …

2
Jak mogę bezpiecznie wdrożyć funkcję logowania bez hasła?
Właśnie opublikowałem nową wtyczkę: No More Passwords Obecnie mam tag beta, ponieważ logowanie do platformy to delikatny problem i nie chcę wypuszczać czegoś, co może mieć luki w zabezpieczeniach. Oto moje zapytanie: Czy jest bezpieczny? Wykonałem następujące czynności, aby zapewnić bezpieczeństwo: Nazwa użytkownika / hasło nigdy nie są przekazywane w …
10 plugins  security 


2
Popraw bezpieczeństwo wordpress, ukrywając zasoby niepubliczne
Jestem nowy z wordpress i chcę poprawić bezpieczeństwo wielu witryn Wordpress, ukrywając niepubliczne zasoby, np. wp-admin, wp-config itp. Moje ustawienie wydaje się działać, ale nie wiem, czy to ustawienie może coś zepsuć (podstawowe funkcje, popularne wtyczki itp.) Czy moje ustawienia są ogólnie dobre? Moje ustawienia poprawiają rzeczywiste bezpieczeństwo czy marnuję …

1
Dlaczego WordPress ma więcej niż jedną sól?
Wydaje mi się, że ujawniam tutaj pewien brak wiedzy na temat bezpieczeństwa, ale czy nie powinno wystarczyć posiadanie jednej soli? Dlaczego potrzebne są cztery różne sole? define('AUTH_SALT', 'z(ly|p-aeKf^I~OfOUUIL&Y?C5Z.iu|L}kY%dvclq.h9n`)MlZe6'); define('SECURE_AUTH_SALT', 'NIY8g>=l9y~eV~WLu 3n>UG#3wSl4YfT%;z9`7m9Gk/k_Vn4`ej8'); define('LOGGED_IN_SALT', '<-[R@, I;m%n*9G?CU1a:))pEAa/r5X5@pT`cO2H|c2&x~G<p*3T:-5v<N'); define('NONCE_SALT', 'm(-0:+r0a%z~a:2F;]-geM$9~!4j(q3QdpkmB7;P+ZYYw7Rdy{97fS'); (Nie martw się, zniekształcone wartości i jest to strona lokalna).
9 security 

2
Zabezpieczanie kont administracyjnych - wykrywanie nazwy użytkownika
Przez kilka tygodni zainstalowaliśmy Limit Próby logowania , a liczba prób brutalnej siły na wp-admin / wp-login jest niesamowita. Na początku wszystkie próby dotyczyły nazwy użytkownika „Administrator”, która nie istnieje na naszej stronie, więc uznałem to za irytację, ale nie za duże zagrożenie. Jednak teraz widzimy blokady występujące w przypadku …
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.