您当前的位置:首页 > TAG信息列表 > security
HTTPS重写不适用于All in One安全暴力>重命名登录URL
我正在尝试设置两种似乎无法协同工作的安全措施:在站点上使用https,在htaccess中使用服务器重定向+模块重写:<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] </IfModule> 还有一个新的登录url,它具有多功能一体
需要管理员访问权限的开发人员/设计人员
我有一个Wordpress网站,希望为我的网站定制一个带有Elementor插件的主页。我不擅长设计有吸引力的页面,因此我联系了一家小公司来帮助我设计主页,但他们要求我提供管理员访问权限,以便他们可以使用Elementor进行页面构建。我不喜欢给他们管理员权限,因为他们可以完全控制我的网站,因此可能会试图损害网站(我只是说)。那么,有没有更好的方法可以在不影响安全的情况下完成工作?在提问之前,我也搜索了这些问题,但没有找到明确的答案。请帮忙
在哪里存储敏感的上传文件?
我正在开发一个插件。哪里是存储用户上传的本质上敏感的文件的最佳位置?它不应通过web访问。考虑到文件的编码,有必要将其上载,而不是将其存储在数据库中。
有人一直在更改我的站点URL(MySQL注入还是XSS?)
我已经两次在数据库中更改了我网站的url。这是唯一一条被修改的数据。执行此操作的人会将站点重定向到此位置的脚本:somelandingpage [dot] com/3gGykjDJ?frm=script 我尝试过防止XSS,并检查/更新了每个插件,但我不知道这是如何发生的。有什么想法吗?
我如何保护我的可湿性粉剂网站免受黑客攻击?
如果有人帮助我保护我的网站免受黑客攻击,我将不胜感激。有什么有用的插件可以使用吗?
如果我的网站遭到黑客攻击,我如何备份它?
今天我想问你一些非常重要的问题,如果我的WordPress网站https://thecodezine.com 被黑客攻击或我的jetpack插件安全性被破坏?我会失去一切吗?没有办法回去吗?如何确保所有文件的安全。
模板文件中的Echo Get_the_Term_List和Get_field是否被认为是安全的?
以下面的方式使用get\\u the\\u term\\u list和get\\u field是否符合公认的标准,可以安全地将分类术语显示为表中的链接,并在模板文件的标题下显示自定义字段文本?是否建议使用更易于接受和安全的其他功能?或者,以这种方式显示的术语或文本是否已经符合安全标准?<table> <tbody> <tr><td><strong>Genre:</strong></td><td>
如果内容不是,为什么要逃走?
内置功能the_content 运行多个筛选器,但不转义输出。要做到这一点很困难,因为必须允许HTML甚至某些脚本通过。输出时,\\u内容似乎通过这些过滤器运行(从5.0开始):add_filter( \'the_content\', \'do_blocks\', 9 ); add_filter( \'the_content\', \'wptexturize\' ); add_filter( \'the_content\', \'convert_smilies\', 20 ); a
处理从访客到登录用户的操作编号
设想以下场景:John在我的网站上有一个帐户,但目前尚未登录</他点击了一篇文章上的“upvote”按钮,但由于只有登录用户才能upvote,因此被重定向到登录页面在参考URL(登录后John将重定向到该URL)中,传递以下参数:action=upvote article=1234 nonce=gibberish.</登录后,John被重定向到包含“upvote”操作的推荐URL</nonce现在无效,因为它是在未登录时生成的</这里的主要问题是,据我所知,nonce是由用户会话生
我的WordPress站点上有“https://”,但当我转到仪表板并单击访问站点时,它会删除“https://”
我们有一个内部网站,只有在您有office 365员工登录时才可访问。它托管在bluehost上,我们已经激活了它的https功能。我们的网站运行在WordPress multisite上,并通过https访问进行保护。现在,当我转到任何站点的仪表板时,它上面的访问站点链接会将我重定向到一个没有“https://”的页面。当我创建一个新页面或帖子时,可以点击的永久链接也没有“http://”或只有“http”,上面没有“s”。我还使用Redirection plugin 没有https://到https:
运行多个安全插件
运行多个提供类似安全功能的插件是个坏主意吗。我计划使用wordfence进行安全保护,使用jetpack进行备份。但我看到jetpack也提供了安全功能。我可以两个都跑吗?谢谢
上传SVG图像文件安全吗?为什么WP将它们定义为安全风险?
我想上传一张SVG格式的美国地图,但由于“安全风险”,我无法这样做。知道为什么吗?这样做安全吗?谢谢
为什么当我尝试使用Elementor更新页面时,有时会收到404错误?
使用Elementor更新页面时,我们偶尔会收到404错误。大多数时候,我们可以很好地更新页面,但是当我们尝试添加<script> 标签或带有自定义字体颜色的按钮,这会给我们一个404服务器错误。是什么导致了问题?
外部链接的安全问题
在里面this article 我读到,使用<a href=\"\" target=\"blank\"> 与一些安全问题有关。他们建议rel=noopener.如何在WP安装中实现这一点?哪个文件是相关文件?非常感谢。
阻止任何其他域使用我的服务器
似乎有人已将其域设置为使用我的服务器。它不是一面镜子,数据库和一切都与我一起工作和更新。他基本上是在窃取我的内容,他出现在谷歌上而不是我。有没有办法使我的服务器只响应来自我的域的请求?我正在将Wordpress与Apache2一起使用。使用阻止IP。htaccess不工作
元数据是否需要进行清理?
将数据存储在用户的元数据中时是否需要转义数据?我不确定WP是否会自动执行此操作,或者是否有必要执行此操作。此外,如果有必要,我应该通过sanatize\\u meta使用mysql\\u real\\u escape\\u string吗?我正在存储URL。
在用户迭代被抑制时迭代用户
最近,我注意到各种登录尝试被安全插件阻止。当尝试涉及不存在的用户或默认/常见用户名(如网站名或经典用户名)时,这是非常常见的admin 等从上周开始,登录尝试(在定义的失败登录后被阻止)都是真实用户,奇怪的是,在某些情况下,用户没有以作者身份出现在文章/页面中。还要考虑到用户迭代被抑制,访问?author=1 只给出404页,没有结果。看来他们找到了一种不同的方法来迭代用户,你知道有什么可能的漏洞可以利用,以及如何保护网站吗?
扫描多个网站以查找位于同一网站主机根目录中的恶意软件?
我有一堆WordPress网站,我与同一家托管公司托管。我使用相同的帐户管理它们,使它们位于相同的根目录中。我注意到我的一个网站感染了恶意软件。除了在我的每个网站上安装防病毒插件并扫描该网站之外,还有没有更快的方法让我检查我的所有网站?它是由一家网络托管公司托管的,所以我不能像那样在服务器上安装软件。
建议重定向以锁定网站,防止未经授权的用户访问
正在寻找有关以下功能的建议。我有一个web应用类型的网站内置WP。除了主页上的登录表单外,网站上没有任何与非用户相关的内容。我有一些锁定内容的成员插件,但作为一个附加的安全层,我正在考虑添加以下内容:function lock_non_users_to_front() { if( !is_user_logged_in() && !is_front_page() ) { wp_redirect( home_url() ); }
CURRENT_USER_CAN()有多安全?
我通过JSON ajax请求保存敏感数据,它没有经过清理,实际上任何东西都可以传递。我需要确保只有管理员edit_options 权限可以保存它。所以我会:function received_ajax_request() { if ( !current_user_can(\'edit_options\') ) { return; } save_to_database( $_POST[\'something\']) ); } 我