您当前的位置:首页 > TAG信息列表 > security
从“服务器2”访问“服务器1”上的WP文件-使用外部网站上的wp-Load
我的安装程序由一个“成员区域”组成,该区域是从我的Wordpress安装中留出的。此成员区域是用PHP编写的。到目前为止,我一直在使用PHP文件中的以下代码来拉入WP博客头文件,然后再查询和拉入帖子<?php require(\'/var/www/html/wp-blog-header.php\');?> 然而,由于各种原因,我已经将Wordpress安装和会员区拆分为单独的VPS。我很好奇,既然Wordpress和我网站的其他部分都在两台服务器上,我需要做些什么,才能用同样的方法恢
保护插件弹出窗口
我有一个插件,它可以打开一个弹出窗口并在其中显示内容,不使用任何默认的wordpress主题/样式等。我的问题是,确保访问此窗口的最佳方式是什么?此时,如果用户将地址复制/粘贴到浏览器中,它将显示内容。我希望它只对以管理员身份登录的用户可见。然而,当我向插件登录页添加一些基本安全性时,它会影响整个网站,而不仅仅是插件页:my-plugin.php (located in /wp-content/plugins/my-plugin) function check_logged_in() {
WordPress(或插件)会向管理员显示登录凭据吗?
我刚刚尝试登录到我的一个旧WordPress网站。我忘了我已经卖掉了这个网站。我尝试使用登录凭据登录,但显然无法登录。现在我的问题是,WordPress或任何插件是否会将此尝试通知网站所有者,更重要的是,是否会透露已使用的密码?谢谢
Spam Registrations
从过去的三天开始,我每天都有一个新用户注册到我的WordPress网站。默认角色为admin 这非常令人担忧。他们的电子邮件ID是[email protected] 和[email protected].我已经开始使用Wordfence并禁用Anyone Can Register 在里面Settings > General.你能建议我做些什么额外的事情吗?现在,我正在手动删除注册。
Wordpress Security tools
各位wordpress开发人员或网站管理员。我想问一下,您使用哪些工具来保护wordpress网站的安全?此外,您有什么方法可以防止wordpress插件漏洞影响您的wordpress网站?
带有选项卡式导航的设置API中的随机数
我之所以重写这篇文章,是因为正如有人正确指出的那样,原来的帖子“严重不足”我制作了一个插件,它有各种设置的选项卡视图。基于此Wordpress Plugin Template. 该模板使用WP Settings API构建设置页面并显示选项卡。表单使用默认值_wpnonce 用于“提交/保存设置”按钮。选项卡是改变页面URL查询字符串的链接元素,例如/wp-admin/options-general.php?page=my_plugin_settings&tab=tab_1 到/wp-ad
使用htaccess通过wp-Comments-post.php阻止垃圾邮件
我的WordPress网站上有很多垃圾评论。正在使用wp-comments-post.php 文件我可以从日志中看到:\"POST /wp/wp-comments-post.php HTTP/1.0\" 302 3744 \"https://example.com/wp/link/\" \"Mozilla/5.0 (Windows NT 6.1; WOW64) 我已经在我的.htaccess 文件:RewriteEngine On RewriteCond %{REQUEST_METHOD
表情包入库的安全方面
我将emojis存储到一个自定义表中,并使用wpdb变量查询内容。数据库字符集为utf8mb4,排序规则为utf8mb4\\u general\\u ci表情符号在用户输入时按原样存储。我在这里可以面对哪些安全问题,我应该记住哪些事情以避免任何可能危及我的数据的情况。用户还可以在输入中插入一些随机的mysql/php代码,我应该对其进行清理、编码然后存储。此外,如果我在什么阶段编码,我应该解码它以呈现给ui。
如何删除WordPress站点中的Java脚本恶意软件
这是我的网站-(出于安全原因,使用XSS漏洞中的恶意软件编辑了网站URL)我在wordpress中创建了这个网站,在谷歌广告停止并警告我之后,我突然意识到我的网站中存在恶意软件。以下是sucuri sitecheck发现的恶意软件。<script type=\"text/javascript\" src=\"//deloplen.com/apu.php?zoneid=2694107\" async data-cfasync=\"false\"></script> <
如何处理慢速HTTP POST(Slowloris)漏洞
我正在使用WordPress版本5.2.2我被要求按照安全扫描的要求实现突出显示的更改,问题是我几乎没有访问Web服务器配置的权限(事实上我认为没有),这使得一些更改很困难。我是否可以处理WordPress中缓慢的HTTP POST漏洞(https://blog.qualys.com/securitylabs/2011/11/02/how-to-protect-against-slow-http-attacks) 不更改服务器配置?
WordPress中有没有留下不安全的http://URL?
现在几乎所有内容都应该是https。我刚刚检查了5.2.3 php文件(844个文件,365741个非空行——yikes!!)并找到了一些可能是真实的参考资料。我之所以说“可能”,是因为很难知道在某些php函数中深入构建http url会怎么样。我刚开始学习WordPress和php,所以现在有点不知所措。例如,在wordpress/wp-activate.php 这些线是:printf( /* translators: 1: site URL, 2: username, 3: user
硬编码字符串上的esc_attr()
我正在阅读codex中创建小部件的一些示例代码(https://codex.wordpress.org/Widgets_API) . 下面是为管理小部件表单创建标签和输入字段的代码: <p> <label for=\"<?php echo esc_attr( $this->get_field_id( \'title\' ) ); ?>\"><?php esc_attr_e( \'Title:\', \'text_domain\' );
更正设置以阻止黑客修改文件
最近我的网站被破坏了,所以我清理了它并加强了安全性。除此之外,我已经安装了wordfence插件,它现在可以扫描WordPress安装中的所有内容,搜索正确的文件权限,等等。。。问题是,我在扫描中发现许多文件(theme/functions.php和wp-includes中的其他文件)再次被修改。。。所以我肯定做错了什么。请任何人都可以提供一个完整的安全文件指南,以便不被攻击者再次修改?
在使用REST API时,我应该担心SQL注入吗?
当通过使用REST API和SQL查询时,我应该担心SQL注入吗$wpdb?例如,bellow是否易受sql注入攻击?public static function get_post( WP_REST_Request $request ) { global $wpdb; $post_slug = $request->get_param( \'slug\' ); $sql_post_by_slug = \"select * from
确保2019年WordPress网站的安全:一个插件还是两者的组合?
你们现在如何处理WordPress和安全问题?您是否使用插件或手动编辑核心文件以防止攻击?有很多很好的插件解决方案,但对于像我这样的初学者来说,很难知道该使用哪一个或使用多少个插件。您认为安全插件和防火墙的结合以及安全最佳实践是否足够?
在具有.htaccess密码的WordPress站点上运行安全扫描
首先,我不知道这个密码的正确术语是什么。我想这只是一句插话。htaccess,它可以防止机器人程序或未经授权访问临时环境,但也会不时破坏其他一些功能。密码可能不在。htaccess。我没有访问权限,也无法禁用它。我尝试了两个流行的安全插件来扫描我的网站(我可以说出他们的名字吗?),但他们会遇到以下错误:“扫描无法启动。这通常是因为站点无法发出出站请求或被阻止连接到自身。”“SiteCheck错误:无法正确扫描您的站点。401未经授权”是否有其他“工具”可以在我不禁用密码的情况下运行扫描?(我是否可以就Wo
清理Get_Query_var()URL参数
我目前正在一个网站上工作,并测试其安全性。其中一个页面具有排序功能,我在其中传递一个url参数,说明我希望如何对内容进行排序。例如:www.example.com/page/?sort=alpha 这很好,但我也尝试发送恶意代码:www.example.com/page/?sort=alpha%3Cimg+src=xyz+onerror=alert(99)%3E%3Cxss/%3E 在internet explorer中,当我输入此url时,我的页面会显示出来,并弹出一个javascr
什么时候使用wp_verify_nonce有用
我知道wp_verify_nonce() 用于确保$_POST 来自一个安全的地方。我正在开发一个WordPress插件,它可以创建自定义列表。为了做到这一点,网站所有者必须访问您的wp-admin 服务器必须使用wp_create_nonce() &;wp_verify_nonce() 是否只有在wp admin登录后才能访问表单?
Wp-登录时的基本身份验证.htAccess,但允许从WooCommerce注销
我使用.htaccess 在我的WC网站上进行基本身份验证,以帮助防止黑客访问wp-login, 效果很好。。。除WooCommerce外,如果登录的客户想要从其帐户注销-单击注销链接后,他们会收到基本的身份验证弹出窗口,要求他们“授权”(由我们的.htaccess).在Woocommerce仪表板上:您好MrTest(不是MrTest?注销)<<;单击“注销”将打开基本身份验证登录框。。。。我们如何避免这种情况?以下是htaccess的内容:<FilesMatch \"wp-login.p
阻止通过htaccess访问wp-登录不起作用
不久前,我安装了限制登录尝试重新加载插件,它工作正常。然而,由于我收到了太多未经授权的登录尝试,我还实现了一个。wp登录时的htaccess密码。php文件本身,当我转到/wp登录时,它确实可以工作。php或/wp admin(假设我还没有登录),我获得了第一个级别。htaccess password required对话框,必须输入正确的用户名和密码(FWIW与我们的任何WP用户名/密码完全不同)。一旦我在对话框中输入了正确的凭据,然后并且只有在那时我才能获得wp登录。php页面,使用我的WP用户名和密