您当前的位置:首页 > TAG信息列表 > security

  • wp-config.php modified?

    时间:2018-01-02

    这可能是一个广泛的话题,但我正在搜索和阅读,但无法消除我的疑虑,请在回答中提供建议或链接,从那里我可以了解攻击者如何将代码注入WP。当点击谷歌搜索中的网站名称时,它会产生垃圾邮件链接。扫描后,我发现有一个插件https://wordpress.org/plugins/pc-google-analytics/ 我们用的是过时的。在wp配置中。php有一些代码如下截图:这是否意味着该网站遭到黑客攻击?我已经完成了所有必要的更新或核心和插件等Verifying that I have fully removed

  • 删除表用户是否会阻止所有登录?

    时间:2017-12-17

    我在线上传了Wordpress网站,但配置服务器需要时间。与此同时,我删除了“用户”表,这样黑客就无法访问该网站/后端,直到我在将来的某个日期能够正确保护该网站。这是否有效,或者该网站是否仍然可以通过该网站进行黑客攻击。com/wp登录?

  • 从一个WordPress网站登录到另一个WordPress网站

    时间:2017-12-16

    我的客户明确表示不想使用“多站点”wordpress选项我的客户有一个主站点和199个子站点(其他域)用户具有元键为branch\\u id的usermeta例如(完全虚构的名称):主要站点:kero。子站点:uka。com(和许多其他公司)两个域都有SSL证书。最终目标如下:当您登录到主站点(kero.com)时。我已经构建了一个插件来检查哪个分支ID附加到用户。它是这样的:function myplugin_auth_signon( $username, $password ) { $

  • Wp-Content/Uploads需要哪些权限?

    时间:2017-12-06

    默认的wp内容/上载目录权限是什么?我需要什么chmod命令才能正确设置它?

  • 有关来自亚马逊IP地址的对管理员用户名的暴力攻击的问题

    时间:2017-11-30

    我是一家公司的开发人员(但不是wordpress)。我们使用EC2实例来托管wordpress站点。我实际上没有一个名为“admin”的帐户,但我们有iThemes Security Pro,它永久禁止试图以“admin”用户身份登录的IP。大约一周前,我从巴西的一个IP收到了一个站点锁定通知,在乌克兰还有一个,这些IP试图通过管理员用户名获得访问权限。我认为这很好,但在过去的几天里,我每隔15分钟左右就会收到一封电子邮件,说另一个IP因为试图以用户管理员身份登录而被锁定。我原以为我会对某些IP地址的页面

  • 仅当用户单击注销或用户删除浏览器历史时,WordPress才会注销

    时间:2017-11-28

    这是我的项目的主要要求。用户登录后,只有在用户单击“注销”按钮或用户删除浏览器历史记录时,才能注销。浏览器关闭后,计算机重新启动,更改IP地址should NOT logout the User.WordPress可以这样做吗?是否有过滤器、行动挂钩?

  • ADD_SUBMENU_PAGE挂钩函数必须显式检查用户功能-为什么?

    时间:2017-11-23

    在参考中add_submenu_page 功能我在描述中看到了以下内容(重点是我的):此函数具有用于确定菜单中是否包含页面的功能。The function which is hooked in to handle the output of the page must check that the user has the required capability as well.我的问题是:为什么会这样?我理解这是出于安全原因,但我无法想象一个使用该功能但不执行额外检查的坏插件会被利用。看起来

  • 基本身份验证WordPress REST API困境

    时间:2017-11-17

    今天,我为WordPress REST API测试了Basic Auth,它工作得非常好。然而,我听说这是一种危险的身份验证方式。这是可以理解的,因为人们可以查看JS文件等。但是,我有一个外部应用程序,我希望用户在其中以表单形式填写凭据(就像在普通WordPress网站上一样)。然后用户登录到该应用程序,并可以在其用户名下发表评论。我不打算泄露任何敏感数据。此外,我只想在用户登录应用程序时显示其用户名和头像。管理员可以更新/删除帖子,但最重要的是,用户/订阅者可以通过RESTAPI登录,在其用户名下发表评

  • Passing form data on submit

    时间:2017-11-14

    在我的清理脚本中,在使用POST请求方法提交此数据之前,我的文本区域输入字段“contact\\u msg”有以下内容:if($_POST[\'contact_msg\'] != \'\'){ $contact_message = sanitize_textarea_field($_POST[\'contact_msg\']); if(strlen($contact_message < 15)){ $errors .= \'Ple

  • `home_url`的安全威胁?

    时间:2017-11-11

    在内置功能的文档中home_url, 据说用于esc_url. 如果不使用,是否存在任何安全威胁home_url? 有人能用假请求欺骗它吗?

  • 禁用WordPress文本编辑器上的<脚本>标记

    时间:2017-11-08

    我正在尝试防止跨站点脚本漏洞。为此,我必须确保不可能通过文本编辑器上的编辑功能直接插入JavaScript代码。我想能够在文本编辑器上只添加HTML和CSS内容。您知道如何在wordpress文本编辑器中禁用javascript代码插入吗?谢谢

  • 用标准的干净文件替换NAV-menus.php文件?

    时间:2017-11-02

    我是一个自学成才的wordpress网站设计师,请原谅我的无知。我为一个客户开发的几个网站最近被一个印尼黑客组织破坏了(很有趣!)。客户端没有更新wordpress安装和其他一些危及安全的事情。遗憾的是,没有网站的清理备份。网络主机给了我一个包含恶意软件扫描结果的文本文件。看起来很多受影响的文件都是导航菜单。网站的php文件。文本文件中显示的扫描结果示例如下:“[主目录]/[网站文件夹名称]/wp includes/nav-menu.php:SL-php-INJECTOR-1-ejw.UNOFFICIAL

  • 如果我将默认角色更改为参与者,我是否必须面临安全问题

    时间:2017-11-01

    我正在建立一个类似medium的社区网站。com。我将不创建前端表单,而是更改作为参与者的默认角色,或允许订阅者角色插入帖子/CPT。。。。我需要知道,我必须面对安全问题吗?

  • 保护WordPress站点安全的标准方法

    时间:2017-10-30

    我在WordPress工作了近5年。但到目前为止,我还没有一个标准的解决方案来保护WordPress网站的安全。我有一个客户托管帐户,该帐户有11个WordPress网站,几乎每年都会遭到黑客攻击。即使最后我不得不离开Hostgator,否则他们会因此暂停该帐户。现在我买了一个新的主机,我不希望它一再发生。到目前为止,我所做的保护我的网站是我使用了“Wordfence”插件并正确设置了它。试图使用“隐藏我的Wp”插件隐藏我的wordpress安装。已在Wordfence设置中将登录尝试设置为5,这有助于防

  • Website is being flooded

    时间:2017-10-27

    我们的网站被成千上万的页面请求淹没。访问日志如下所示:**.**.250.*9 - - [24/Oct/2017:09:16:32 -0400] \"GET /about-our-company/?screw-you HTTP/1.0\" 200 14959 \"-\" \"Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko\" **.**.250.*9 - - [24/Oct/2017:09:16:32 -0

  • Infected Files - what to do

    时间:2017-10-26

    一位朋友收到了主机发出的关于受感染文件的通知,并要求我查看。我不懂wordpress或php,所以我对我要找的东西有点迷茫。是网站扫描。txt。我不知道我在看什么,希望有人能给我一些指导,看看这份报告在说什么,我能做些什么来解决问题。谢谢Scan started at - Fri Oct 13 13:42:53 EDT 2017 /htdocs/wp-admin/edit-comments_ver1.php: JCDEF.Obfus.CreateFunc.BackDoorEval-

  • 如何在WordPress中同时转义多个属性?

    时间:2017-10-26

    我正在开发一个WordPress主题,并试图用一个变量同时转义存储区中的一组属性。<?php $attributes = array(); $classes = array( \'header-section\' ); if ( true == $noticebar ) { $classes[] = \'topnotice-exist\'; } if ( true == $option[\'switch-top-bar

  • Large Session Tokens

    时间:2017-10-25

    我们在共享服务器上有一个Wordpress站点,最近由于磁盘空间不足而崩溃,因为我们的MySQL二进制日志在几分钟内就填满了驱动器。在查看了其中的内容后,我们追踪到该站点中的一个用户,该用户在usermeta 元键为的表session_tokens. 我为该用户单击了“随处注销”选项,删除了这些记录,但今天同样的问题开始出现,他的所有令牌都回来了。有什么想法吗?我真的不知道从哪里开始,也不知道他是如何积累了这么多代币的。我写了一个Wordpress计划的任务,应该每小时删除过期的门票,但由于他的帐户什么都

  • WordPress如何在保存时清理帖子内容?或者不是吗?

    时间:2017-10-19

    WordPress从管理区保存帖子内容时,是否对其帖子内容进行了任何类型的数据清理?(如剥离<script> 标签)或它所做的只是检查一些用户功能(如current_user_can(\'edit_posts\')?我在问,因为我正在制作小部件插件:它允许添加或编辑HTML内容,稍后将显示在前端</可以由站点管理员或编辑器进行编辑</HTML内容可以具有任何结构,可以包含脚本标记,也可以包含任何属性。因此,做wp\\U kses不是一种选择</我的问题是,在没有任何消毒的情况

  • 不将内容分配给管理员用户

    时间:2017-10-11

    出于安全原因,我想确保没有任何内容属于我网站的管理员用户。本质上,我希望有一种方法可以自动将任何内容的作者更改为其他内容(包括上载)。作为管理员,当我删除一个用户时,WordPress会问我是否要删除他们的所有内容或将其重新提交给其他用户。嗯,我想自动将内容的作者从一个给定用户(管理员用户)更改为另一个用户(作者/编辑器)。我如何才能做到这一点(我通常可以在根级别访问托管站点的服务器)?