您当前的位置:首页 > TAG信息列表 > security

  • 攻击者正在编写的wp-config.php

    时间:2019-11-22

    我有一个最新的Wordpress安装程序,并且在安全方面,我已经尽了最大努力。然而,我有一个反复出现的问题。我已将配置置于安装位置上方的级别。然而,偶尔会有一些东西写下一个新的wp-config.php 到安装位置,填写某人的详细信息。我分析了Apache访问日志,发现:[IP removed] - - [22/Nov/2019:17:45:06 +0100] \"POST /wordpress//wp-admin/setup-config.php?step=2 HTTP/1.1\" 200 1116 \

  • 如何清理被感染和被黑客攻击的WordPress网站?

    时间:2019-11-24

    我有一些用WordPress建立的网站。我的网站经常受到恶意软件程序的影响,并经常遭到他人的黑客攻击。终于找到了解决这个问题的办法。我写这篇文章是为了分享我的建议,因为我发现很多网站每天都受到同一问题的影响。对您的WordPress站点执行此操作,以清除感染的恶意软件和被黑客入侵的WordPress站点。这也有助于保护您的网站免受攻击。

  • 如何将iframe标签保存到帖子中?

    时间:2019-12-04

    我注意到,当我在帖子中嵌入iframe然后保存更新时,iframe不会被保存。这似乎是一个安全特性,但我如何嵌入iframe呢?并将其设置为仅接受特定域的url源?有什么想法吗?

  • 如果不允许这样做(并且我不能复制它),我现在如何拥有重复的用户条目?

    时间:2019-12-19

    在我的网站中,我有用户以电子邮件作为用户名注册如果我试图手动添加一个新用户,而我使用的用户名(即邮件)已经存在,WP会投诉并告诉我该用户名已经注册如果通过下面的代码以编程方式执行此操作,我会处理此问题并阻止注册然而,我猜有一个用户多次单击表单提交按钮,成功地在我的WP用户数据库中复制了完全相同的用户问题是,这怎么可能?我该如何防止这种情况?从评论中,换言之,重新表述问题:If I want to replicate this, how can I do this?到目前为止,唯一有意义的解释是,我只能通过

  • 用于执行第三方API以检索数据的自定义API插件

    时间:2019-12-26

    我对WordPress不熟悉我有一个请求,需要创建一个自定义REST API插件,当用户触发以下URL链接时:www.example.com/wp-json/v1/getCoupon/123456?CouponID=MacD插件将执行以下操作:a.执行CURL POST(使用插件中存储的用户名和密码)以检索令牌b.使用检索到的令牌、订单号和优惠券ID(在URL中指定)执行CURL GET以检索优惠券信息。插件中存储的凭据是否存在任何安全问题<这种设置方法可行吗在此寻求专家建议

  • 在HTACCESS中阻止wp登录也阻止了受密码保护的页面

    时间:2020-01-10

    我们最近阻止了除我和公司所有者之外的所有IP地址进入/wp登录。php除了今天,我们发现这无意中阻止了任何其他受密码保护的页面。密码保护是指使用WP内置密码,如本截图所示:这是我们添加的HTACCESS部分,它确实阻止了人们WP登录,但也阻止了人们使用受密码保护的# Block access to wp-login.php. <Files wp-login.php> order deny,allow allow from 192...(ip) allow fro

  • 对每个用户使用全局wp随机数而不是每个操作使用随机数是否安全?

    时间:2020-01-29

    请参考我对格雷格答案的评论,以了解与他的答案相关的更多细节,这些答案也与此相关我通过Controller, 这是一个简单地本地化端点并进一步调用它的类,因此,它是某种路由器,它首先进行一些检查:这个Controller, 初始化时,为相关用户创建一个nonce。此nonce是全局的。端点本身没有nonce,也没有注册为AJAX端点(因此,攻击者不能简单地绕过必须通过Controller, 因此,nonce检查只执行一次</运行访问回调函数,如can_user( \'administrator\' )

  • 阻止网络上的JSON访问

    时间:2020-02-02

    我的一个网站被一家安全公司扫描后,发现下面的内容需要屏蔽”http://domain.com/wp-includes/sodium_compat/composer.json“通过互联网访问。我尝试了几个插件,但都不起作用,有人知道如何阻止类似文件在浏览器上显示JSON吗。

  • 密码被盗的用户帐户是否会危及整个可湿性粉剂网站?

    时间:2020-02-07

    假设具有弱密码的订阅者角色帐户的用户已被黑客攻击。那么,有人可以使用此帐户来破坏WP站点吗?

  • IS_USER_LOGGED_IN()和GET_CURRENT_USER_ID()的奇怪行为

    时间:2020-02-15

    我有个问题is_user_logged_in() 似乎在真与假之间交替出现。此外,get_current_user_id() 提供正确的用户ID,如果is_user_logged_in() 是真的。这是我的代码:。htaccess:# BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\\.php$ - [L] Re

  • WordPress数据库已重新安装(已被黑客攻击)

    时间:2020-02-19

    在过去的两天里,就在8点钟,我的WordPress博客呈现了一篇示例文章,好像数据库正在重新安装。数据库通常保存大约2-3年的帖子,这些帖子都会被删除。奇怪的是,所有的文件系统都完好无损,需要数据库备份还原才能修复。有没有人对如何防止这种情况再次发生有什么建议?

  • 如何查找被利用的WordPress插件

    时间:2020-03-08

    一些信息:昨天我发现我的wordpress页面被“黑”(因为没有更好的词)。所有访问我的页面的人都被重定向到http://mywordpresspage.com/NetflixXXX 我相信最后3个X是介于101和999之间的数字。登录我的ftp时,我在我的网站根文件夹+一个名为BOTS(机器人)的文件夹中发现了所有这些Netflix文件夹。txt和其他一些东西。我还没有一个正在运行的备份(当我意识到自己被黑客攻击时,我修改了这个),所以我不得不尝试恢复到正常运行状态。谢天谢地,原始文件似乎都没有被碰过(

  • 由于wp-confg文件被删除,我的网站一直崩溃

    时间:2020-03-10

    wp配置。php文件不断被删除。在这开始发生之前,我的数据库用户名和密码中会自动出现额外的字符,这会使我的网站瘫痪,然后我会注意到这一点并删除这些字符,然后我的网站会出现备份。在继续删除wp配置文件之前,同样的循环也连续发生。我不确定是什么原因导致了wp配置的删除。php文件,但我已多次还原它,多次更改数据库信息,并更改了我在Cpanel和Wordpress上的凭据;然而,这个问题似乎仍然存在。在我写这篇文章时,我的网站目前处于关闭状态-->图1是我网站的当前状态,图2是我经常遇到的错误。如果有人能

  • 特定页面/帖子需要保持非SSL值

    时间:2020-03-23

    我有一个网站,已经是SSL安全。我想有一个插件,可以给我一个记号选项,使页面/帖子成为非SSL。我很少需要使用它,但这不是一个小数目,必须有数百页/帖子需要这样做。这就是为什么我需要一个永久和稳定的解决方案。哪个插件会给我这个选项?谢谢

  • Is this code malidcous

    时间:2020-04-01

    这段代码到底是做什么的??我在最近负责的一个项目中发现了很多类似的文件>>,我不想删除一些我不确定的东西。我认为这是恶意的。到处都有类似的文件,我运行了防病毒检查,他们检测到了一些文件,但仍然有很多。我已经尽了一切可能,更改了每个密码、DB前缀、防止索引。那些文件仍然存在。我能做什么??<?php eval(\"\\n\\$dgreusdi = intval(__LINE__) * 337;\"); $a = \"7VdrT+NGFP1eqf

  • 为什么我的管理员电子邮件地址总是随机更改?

    时间:2020-04-05

    我偶尔会看到这样的电子邮件:Someone (hopefully you) has used this email to register at My Website Username: ********* Password: ********* Thanks My Website 我登录到我的网站,果然,我的管理电子邮件已更改为电子邮件中提到的电子邮件。我第一次看到它就吓坏了。我以为有人想接管我的网站,或者在

  • 如何让WordPress发送密码重置链接电子邮件而不是新密码?

    时间:2020-04-10

    每当用户使用忘记密码链接时,我的WordPress配置会生成一个新密码并通过电子邮件发送。如何使WordPress发送重置密码链接而不是新密码?我希望这样,恶意访问者就不能使用网站上的忘记密码链接并输入其他人的电子邮件地址,从而导致该用户不需要的密码重置。

  • 隐藏WordPress插件源代码

    时间:2020-04-10

    我想知道是否有办法向用户隐藏Wordpress插件的源代码。我知道wordpress是开源的,但如果可能的话,我不希望用户能够访问和查看我的插件源代码。如果有一种方法可以将其他服务器中的外部php文件中的源代码包含/需要到插件文件中,那就太好了。请让我知道你建议的方法,以达到我的目标!谢谢各位

  • 输出wp_oembed_get代码时的安全性

    时间:2020-04-13

    这是我在函数中的代码。php操作。它负责获取和显示嵌入代码。通常有一个来自$embed\\u link的youtube链接,但它来自公共表单,因此可以包含任何内容: $embed_link = get_post_meta( $post_id, \'user_content_link_to_remote_video\' ); $embed_code = wp_oembed_get( $embed_link[0] ); if ($embed_code):

  • 密码重置链接是否以HTTP形式发送?

    时间:2020-04-22

    我刚刚被添加为一个WP网站的管理员。我注意到的第一件事是电子邮件中的“(重新)设置密码”链接以http://我该如何解决这个问题?评论调节中的“查看帖子”链接也使用HTTP,也可能使用其他链接(我还没有完成查找)。