您当前的位置:首页 > TAG信息列表 > security

  • 阻止匿名访问WordPress站点(非管理员站点)

    时间:2020-04-30

    我正在使用WP为商业软件产品(产品X)构建帮助/培训门户。我们想限制对这个新WP站点的访问仅限于产品X的经过身份验证的用户,因为它包含敏感信息。与产品X的auth API集成不是问题(我以前做过)。然而,所有与自定义WP auth相关的文档/示例似乎都集中在WP管理门户上,而不是实际的WP站点。支持这样的事情吗?如果是这样,请链接到示例/文档。

  • Decoded malware code

    时间:2020-05-01

    我的wordpress网站最近遭到黑客攻击。经过研究,我发现有3个文件被感染:索引。php wp配置。php wp设置。php包括以下代码:@include \"\\057h\\157m\\145/mywebsite/\\160u\\142l\\151c\\137h\\164m\\154/\\167p\\055c\\157n\\164e\\156t\\057c\\141c\\150e\\057a\\154l\\057.\\062d\\061c\\061b\\144d\\056i\\143o\";

  • 在wp_INSERT_POST之前清理用户输入字段

    时间:2020-05-02

    我读过如何清理、验证和转义文本字段,我知道wp_insert_post 使用清理所有字段wp_kses HTML标记除外。然而,我对开发还不熟悉,希望得到确认,我会去正确的地方。现在,我正在创建用户提交前端表单。有几个输入字段,1) 帖子标题,类型:text,我使用的清理方法:sanitize_text_field( $_POST[\'post_title\'] )2) 发布内容,类型:textarea,我使用的清理方法:None,因为允许使用html标记,例如,<h1> 或<img&g

  • Load More Posts Button - AJAX

    时间:2020-05-10

    我正在尝试将Ajax添加到我的主题中,以便动态加载我的帖子。下面的代码可以工作,但由于某种原因,当我使用另一个div包装触发加载的按钮时,它什么都不做。完整代码:https://pastebin.com/8DhmC32RJS公司jQuery(function($){ $(\'.loadmore\').click(function(){ var button = $(this), data = {

  • 禁用用户角色的REST API

    时间:2020-05-13

    我正在寻找一种方法来禁用名为“external\\u user”(禁用wp json查询)的用户角色的Rest API当我们将wp json放在URL(用户、页面、帖子…)上时,这个用户角色现在可以看到大量的帖子和页面信息我实际上使用插件DISABLE REST API 但它只会阻止未登录的用户查看json信息。我需要做同样的事情external_user 角色如果不可能,我可以重定向此用户角色吗(and only external_user role) 如果他想把URL和wp json放在一起,会有40

  • rms_unique_wp_mu_pl_fl_nm.php

    时间:2020-05-18

    创建此文件的是什么?它位于/wp-content/mu-plugins目录中。如果我删除它,它会在一段时间后返回。它包含以下代码:<?php if(!function_exists(\'do_rms_activation_task\')) { /* ------------Register Config Variables------------ */ $GLOBALS[\'rms_report_to\'] = \'https

  • 强制用户在第一次登录时更改其在前端的密码和密码策略

    时间:2020-05-23

    我的平台上有3个用户角色,无法访问WordPress backoffice\"external_user1\" , \"external_user2\", \"external_user3\".我需要强制每个具有此角色的用户在第一次登录时更改其密码。顺便说一下,我使用WordPress登录表单。因此,如果用户输入正确的ID和密码,他将被重定向到:wp-login.php?action=lostpassword 用于重置密码。如下图所示:此时,他再次输入ID,并向用户发送重置邮件。当用户单击邮件链接时,他将

  • How to secure my php forms

    时间:2020-05-25

    请告诉我如何使用php创建和显示表单的安全建议,我想从安全角度了解我的以下代码是否不受交叉脚本攻击或sql注入或任何形式的攻击或黑客攻击。$form = \'<div class=demessage>\' . esc_html__($message, \"gold\") . \'</div>\' ; $form .= \'<form action=\"\" method=\"post\" name=\"base\">\'; $form .= e

  • 是否可以使用Wordpress管理员用户+数据库凭据来获得Cpanel或FTP访问权限?

    时间:2020-06-04

    尝试找出删除管理员用户和更改数据库密码是否足以保护网站的安全。

  • WordPress“网站健康状况”信任它或我自己的安全建议?

    时间:2020-07-12

    我正在使用WordPress托管一些网站。最近,它包含了一个称为站点健康状态的功能。这些信息在一定程度上是有价值的,但不知何故,它也让我感到不舒服,我无法让它显示出来;“绿色”;因为我认为没有问题以下是;关键问题“;外观。以下是相关的文本摘录,因为搜索引擎不太擅长为截图中的文本编制索引:1个关键问题Background updates are not working as expected [安全]后台更新确保WordPress可以在为当前使用的版本发布securityupdate时自动更新。警告文件夹/

  • 请求有关潜在恶意软件的帮助

    时间:2020-07-23

    我正在帮助一个WordPress网站上有文件的人在他的文件夹下生成文件,并以文件夹命名。有人能帮我做些什么吗?https://pastebin.com/zrUeXwZS我把代码放在pastebin上,因为它太长了。

  • WooCommerce API安全问题

    时间:2020-07-28

    我正在构建一个本地应用程序,它将使用woocommerce API收集产品。我创建的API用户对该API具有只读访问权限。我正在制作的应用程序将公开,因此暴露api密钥是否存在任何安全问题?因为该应用程序不难反编译并获取API密钥。它是只读的,我在只读用户的API中没有看到任何相关内容。如有任何建议,我们将不胜感激。

  • 如何在不禁用组件的情况下阻止xmlrpc攻击以允许Jetpack在WordPress中工作?

    时间:2020-08-03

    我在云中使用虚拟机管理WordPress网站,最近,我注意到许多对xmlrpc的不需要的请求。php组件导致站点运行速度减慢,从而导致高CPU负载。如果是我的话,我会完全禁用它,但该网站使用JetPack插件,它依赖于xmlrpc。所以,我的问题是:如何允许JetPack访问xmlrpc,同时阻止其他所有人,而不禁用服务器上的xmlrpc?该站点使用JetPack启用了bruce for protection,fail2ban已启用并正常工作,但似乎无法解决问题。在进行一些研究时,我发现了以下解决方法:h

  • get_posts() SQL Injection

    时间:2020-08-10

    我正在使用自定义搜索页面,通常使用wpdb->;制作自定义查询时准备。但这次我使用get\\u posts创建了下面的查询。但我想知道我是否必须担心它的SQL注入。我应该吗?或者get\\u posts()是否内置了这种安全机制?如果没有,如何清理传入变量?$SEARCH_QUERY = @$_GET[\'s2\']; $args2 = array( \'orderby\' => \'date\', \'order\'

  • 删除URL中的特殊字符

    时间:2020-08-22

    我需要帮助以防止URL中出现特殊字符(&a);如果有人专门输入字符,它应该重定向到404错误页。我试过几种方法.htaccess 但没有一个奏效。预期URL:http://www.example.com/ar/shop-listing/health-beauty/ 但如果我像这样输入,我仍然可以看到页面http://www.example.com/ar/shop-listing/health-beauty~@/#$&&&%%$%3Cscript%3E/ 有人能提

  • 如何防止对WordPress的暴力攻击

    时间:2020-08-23

    我的网站宕机了1小时。然后继续。所以我问我的主机是什么问题,我的网站。他们说我受到了暴力袭击。让我雇个人。我通过使用WordPress插件来限制登录尝试。我想知道我还需要做哪些其他解决方案

  • WordPress中的jQuery版本未通过安全审计

    时间:2020-09-22

    我对我正在构建的一个自定义WP主题进行了本地主机测试,在Google Chrome的Lighthouse审计中,由于Wordpress提供了一个旧版本的jQuery(jQuery版本1.10.2),因此未能通过审计的“最佳实践”部分以前的问题不是用jQuery迁移解决的吗?我对这方面的事情有点陌生,所以任何帮助都会很好。我目前正在使用最新版本的Wordpress(5.5.1)如何解决这个问题(即更新jQuery或任何其他解决方案)?

  • 如何保护WordPress内容免受爬虫程序的攻击

    时间:2020-09-25

    我发现当前的wordpress内容对于像BeautifulSoup这样的HTML cralwer来说非常脆弱。如何保护内容?使用ajax隐藏媒体链接隐藏帖子内容这是我最初的想法,但我没有找到相关的解决方案。非常感谢。

  • Wordpress: Adding Security

    时间:2020-10-05

    关于这个答案,添加文件调试是正确的。以这种方式登录?RewriteRule (?:debug|readme|license|changelog|-config|-sample)\\.(?:php|md|txt|html|log?) - [R=404,NC,L] 亲切的问候

  • Check for security updates

    时间:2020-10-08

    是否有任何选项可以检查我在网站上的所有插件、核心和主题是否存在安全问题?示例:对于Wordpress core,我可以检查我的当前版本:get\\u bloginfo(\'Version\'),更新:get\\u site\\u transient(\'update\\u core\')->;更新[0]->;现在的但我无法检查更新是否是安全更新。是否有任何API或其他东西,我可以从中获取安全更新的信息?