您当前的位置:首页 > TAG信息列表 > security
已升级到最新版本-3.0.3,现在我收到一条错误消息:“有足够的权限访问此页面”
升级后立即出现此问题。应用程序唯一受影响的部分是与插件相关的设置下的子菜单项。核心应用程序设置起作用,但插件不起作用。所有插件都是最新的并受影响。思想?
阻止访问或自动删除Readme.html、许可.txt、wp-config-sample.php
这只是一个可能对安全性有点帮助的快速问题。我注意到自述文件。html文件列出了版本号。它会在每次升级后重新出现,许可证也是如此。txt和wp配置示例。php。有没有一种简单的方法可以让WordPress在升级后自动删除这些文件?我已经阻止了meta标签、rss提要、atom等中显示版本号。我知道这种类型的安全性并没有多大帮助,但我只是觉得这可能只是一个小小的开始。我听说人们可以简单地检查WP includes中包含的jQuery版本,并交叉引用WP附带的版本。
保护BuddyPress安装的最佳实践?
我的一个客户经营一个Buddypress网站(WP 3.0.2上的BP 1.2.6)。我们想让用户能够发布自己的博客,但我们不希望他们能够执行PHP代码(我们在网站上广泛使用Exec PHP插件)、激活/停用插件,或者基本上除了使用网站和发布博客以外的任何其他功能。我们如何才能将事情锁定,使只有具有“管理”级和更高权限的用户才能执行PHP代码、激活/停用插件、管理用户等?
我如何锁定我不打算更新的旧WordPress安装?
我正在创建一个新的wordpress博客,不再更新旧的博客。旧版本每天仍有400-500次点击,所以我想保持它的存档,因为人们仍然链接到它的帖子。很明显,wordpress和插件会被更新,这是一个问题,我不想维护它。如何锁定wordpress的安装,以便不需要维护它?我看到有人建议制作一个静态版本,这听起来像是很多工作。我想到的一个更合理的解决方案是在数据库用户级别禁用对数据库的写访问。从现在起,我可以禁用评论。请随时分享对此的任何想法或评论。提前谢谢。
将WP管理员密码设置为过期
我知道这不是Wordpress的一个功能,但我想知道是否有一种方法或插件(搜索时没有找到)允许我强制用户在定义的天数后更改密码。
有没有办法重命名或隐藏wp-login.php?
任何更改wp登录的方法。php url?每个曾经使用过Wordpress的人都可以很容易地看到您的站点是否正在使用它,并直接进入登录页面,这似乎是不安全的。以前有一个名为“隐形登录”的插件,但没有更新。(因此我们不愿意依赖插件)。
使用HTACCESS进行秘密访问
我昨天看了这篇文章http://digwp.com/2011/01/simpler-login-url/ 其中使用“自定义”字指示用户url.com/admin 到url.com/wp-login.php和我在问(在评论中也这样做了,但没有回答)是否可以deny any access 致管理员unless used a secret url, 因此,如果用户未登录并尝试url.com/wp-admin 或wp-login.php 他被拒绝访问,只有他尝试url.com/my-secret 然后他就转到管理
WordPress and Security
有没有一些简单的方法来加强WordPress网站的安全性?
如何保护wp-admin免受第三方访问?
wordpress管理面板和登录页面wp如何登录。php是否被隐藏,以便只有网站管理员才能访问?URL是否可以通过某种mod\\u重写规则重写,而不用担心破坏任何东西(抛开所有插件)?最好的解决方案不应基于IP地址,这意味着管理员只能从一台或一组计算机访问网站。
订阅用于安全修复的电子邮件?
是否有安全修复的电子邮件警报列表?我不想只依赖RSS提要。
攻击者如何将脚本写入我的php文件?
我有一个用wordpress创建的博客,现在我有一个问题。攻击者将javascript代码写入我的文件。假设我的插件脚本中有漏洞,但它们如何写入php文件?下面是php文件列表的一部分,它们在其中编写脚本(index.php, wp-activate.php, wp-comments-post.php, wp-settings.php ...)这是他们写入的javascript<script type=\"text/javascript\" language=\"javascript\">kx
配置后的安全服务器
最近我从intovps购买了一个VPS。我第一次通过ssh-comands配置了一个完全非托管的VPS。我的网站正在正常运行。现在我只想知道如何保护它?我以这种方式开始了配置VPS的过程:-已安装LAMP、phpmyadmin、已还原备份(wordpress和mysql)、已安装用于ftp访问的vsftpd、已将用户添加到ftp(用户可以导航到整个VPS上的任何目录,但可以更改任何内容)现在,我只想知道我的VPS的安全步骤。我从朋友那里听说,配置VPS后,还需要进行安全配置。在VPS中,我只为ssh访问添
WordPress推荐的数据库权限是什么?
我刚刚在自己的服务器上运行了WP。我不想再把事情关起来了。db用户应该对我的WP db拥有哪些权限?
如果对l10n使用html data-*属性,是否存在安全问题?
我需要向页面传递一个本地化的多维javascript对象。该对象是使用php构建的,表示一些wp主题设置。我找不到一种方法来利用wp\\u localize\\u脚本,因为它不会解析多维数组。相反,我想出了一个解决方案,使用html5的data-*属性,然后使用jQuery检索它,希望这种方法能够提供x浏览器兼容性。因此,在需要访问本地化数据的页面上,我让php输出:<div id=\"localized\" style=\"display:none\" data-localized=\'{\"us
验证自定义字段输入的正确方法
我有一个带有几个自定义字段的自定义帖子类型。我希望对这些字段进行一些验证,因为它们将被其他服务在下游使用。因此,重要的是,只有正确输入后才能保存。验证相当复杂,需要自定义逻辑。不幸的是,在这种特殊情况下使用插件也不起作用。在这种情况下是否有理想的挂钩?从更高的层面来看,最好的方法是什么。
WP如果用户刷新则插入帖子覆盖新帖子
WP Insert Post是一个非常简单易用的函数。目前,我已将其设置为由用户是否在预订过程中登录触发的事件,以在其自己的页面中批准其预订。我担心的是,如果用户刷新或返回并再次提交页面,他们最终会有2次预订。所以我希望阻止这种情况发生。我的一个想法是使用在创建新预订页面时创建的会话。然后,该会话在insert post数组中填充字段ID=>。这样就可以在现有帖子中隐藏信息。如果会话没有任何价值,也就是说,尚未进行预订,那么它将依赖于ID的默认值,即wordpress创建。这行得通吗?如果不行,有人
WordPress应该增加增强安全性的选项,还是让插件开发者来做?
基于对这个问题的回答所产生的激情。答案似乎是响亮的“没什么!”或者“让插件开发人员来处理,WP已经足够安全了”。。。所以我想我的问题有点离题了?它似乎搅动了一个马蜂窝,而这并不是它的本意。无论如何,这是真实世界的结果。。。我刚收到一封来自我的一位客户的电子邮件,他有12个网站被黑客入侵,因为攻击者破解了他的密码。他的评论让我看到了一些非常简单的选项的可能性,这些选项可以添加到WordPress核心中,以帮助WP站点减少此类攻击的可能性。用户可以做的最简单的事情就是更改默认用户名。我想,超过90%的直播WP
如何才能清理来自此代码的接收数据
<form id=\"tellastory\" method=\"post\" action=\"\"> <label for=\"fullname\">Full Name </label> <input id=\"fullname\" name=\"fullname\" type=\"text\" maxlength=\"255\" value=\"\"/> <label for=\"title\"&
有谁有过WordPress(多站点)隐藏用户(可能被黑客攻击)的经验吗?
我有2个WordPress多站点安装(在不同的帐户上,但在同一HostGator经销商帐户下),两个都似乎已被泄露。我之所以说“泄露”,是因为user\\u登录已被修改(以某种方式),并且“隐藏用户”正在通过WP Admin显示。我尝试登录到两个都是最新(3.1)多站点的安装。我使用1个密码(50个字符的字母+数字+符号密码),所以弱密码不是漏洞。我的登录(我每天都使用)被拒绝了,所以我知道有麻烦了。我可以访问phpMyAdmin,并且可以肯定的是,user\\u登录名和user\\u电子邮件已被修改。如
禁用wp_Handle_Upload中的TEST_FORM是否存在安全问题?
我正在编写一个插件,修改上传帖子文件或媒体库时的默认行为。我正在wp\\u handle\\u upload()中使用自定义$unique\\u filename\\u回调设置$覆盖。我添加后,它在wp\\u handle\\u upload()中触发了以下检查,因为没有设置$\\u POST[\'action\']。(我不知道为什么不是,但不是)。if ( $test_form && (!isset( $_POST[\'action\'] ) || ($_POST[\'action\']