您当前的位置:首页 > TAG信息列表 > security
对私有成员空间使用权限降低的基本管理是否安全
我知道这不是一个明确的技术问题,我没有在网上找到(也许我的位置让工作更难)。我必须开发一个私人会员空间。对我来说,使用wordpress备份(wp admin文件夹)对订阅者的权限(功能)有所减少(例如访问他的发票)对我来说比较容易,但我不太害怕出现安全问题(比如从订阅者那里,创建一扇进入管理的门,黑客入侵网站,更容易找到管理员登录/密码)。大多数成员插件只在前端为成员使用自定义的私有空间。为成员使用默认wordpress后端安全吗?或者只在前端创建一个私有成员空间是更好的方法(不包括用户界面定制的问题)
检查WordPress中的OWASP前十大漏洞
我刚刚制作了一个WordPress插件,我想扫描一下OWASP Top 10 漏洞,这里有关于如何开始的资源吗?谢谢
如何使WP页面仅对特定用户角色可访问
我正在创建一个网站,其中包括;主页“;(public)具有指向WP登录页面的登录链接,则将有不同的页面,这些页面仅可供特定登录成员访问,具体取决于其用户角色。例如,主页(公共)、第1页(角色x)、第2页和;3和;4(角色Y),第5页和;6(角色3)。是否有方法/插件将不同的WP页面与特定的用户角色相匹配?另外,我知道一些基本的编码,所以如果这是解决这个问题的唯一方法,我可以使用PHP代码段(在您的帮助下)。向你问好,Geo
多次扫描无法检测到恶意软件
我想通知并请求社区的帮助。发生的情况是,该恶意软件位于/wp-content/uploads/2020/Named-index文件夹中。phpAnd我在2017年的上传文件夹中找到了他。我觉得奇怪的是,任何在线数据库都检测不到它,甚至连Sucuri插件Wordfense都检测不到。。遵循代码(由于不适合该帖子,其中大部分内容已被删除)以下是恶意代码 if ( !class_exists( \'WPTemplateOptions\' ) ) { class WPTemplateOptions {&
使用Prepare()插入空值
我有类似的疑问/* Query */ global $wpdb; $tablename = $wpdb->prefix . \'data\'; $sql = $wpdb->prepare( " UPDATE $tablename SET `date` = %s, WHERE id= %d ", $_POST[
WordPress主题文件夹的严格文件夹和文件权限
我的客户正在与第三方安全团队合作,他们坚持将我创建的WordPress主题文件夹的文件夹设置为644,文件设置为444。WordPress甚至可以做到这一点吗?
对另一个WordPress站点的SQL查询
我在同一主机上有两个wordpress站点,数据库的主机/用户/密码相同。另一方面,我有两个不同的数据库和两个不同的前缀。我需要在site1上执行操作时,在site2上进行请求(选择并在之后更新),我看到我们可以这样做$mydb = new wpdb(\'username\',\'password\',\'database\',\'localhost\'); $rows = $mydb->get_results("select Name from my_table");&
我想禁用使用电子邮件登录admin(/wp-admin),并使其只能通过用户名访问
我想这样做是为了安全防范。我已经采取了其他行动。但我想只能用我的管理员用户名登录。有没有办法做到这一点,甚至有插件?
WordPress禁止直接访问WordPress安装路径中的文件
我想在我的WordPress网站上添加一个安全功能,以阻止直接访问添加到WordPress安装根目录的文件,最近我发现一个恶意插件添加了一些文件来发送电子邮件。以下是恶意php 已添加代码。<?php $method = $_SERVER[\'REQUEST_METHOD\']; switch ($method) { case \'GET\': //Here Handle GET Request echo \'###ER
通过用户代理插入WordPress SQL
目前Wordpress似乎在通过用户代理进行SQL注入方面得分很低。正在使用的测试工具返回它是不安全的,因为当您操作用户代理时,它返回HTTP响应(错误)(例如通过https://medium.com/@frostnull/sql-injection-through-user-agent-44a1150f6888 ).返回示例:为了解决这一问题,应严格验证数据,以防止响应标头注入攻击。在大多数情况下,只允许将短的字母数字字符串复制到标题中是合适的,并且应拒绝任何其他输入。至少应拒绝包含ASCII代码小于0
NOnce提交表单失败
我正在更新我的一个WordPress插件中的一些代码,通过添加nonce来提高安全性。该插件具有一个表单,该表单生成一些输出,用户可以将其复制并粘贴为短代码。在设置表单的底部,我有第二个表单,它将第一个表单重置为其默认值。正如标题所说,现在的局面一直在失败。<?php /** * Form reset. * * @package Foobar/foobar */ // $parent and $token construct the
为什么CHECK_AJAX_REFERER在HTTPS网站上会出现403错误?
当我在没有SSL的站点上编写ajax函数时,请检查\\u ajax\\u referer是否按预期工作。但它失败了,在https站点上出现了403禁止的错误。我试了很多次,但我不知道为什么它不起作用。我错过了什么?有什么想法吗?表单(小部件类):public function widget( $args, $instance ){ $action = \'?action=registration\'; $unique_string = "Unique string
Sanitize_Post()不是清理Post对象
我想在不使用foreach的情况下清理WP\\u Query post对象。我使用了这种方法:$args = array( // ... ) $data = array(); $the_query = new WP_Query($args); $data["post"] = $the_query->posts; array_map("sanitize_post", $data[&qu
用于阻止带有额外条件的僵尸程序的.htaccess规则
我安装了WP multisite。我与Ezoic和Cloudflare集成。我实施了防火墙规则。但是,我在阻止具有X-Middleton 在User-Agent, 因为我的原始服务器允许它,用于检测真正的用户IP。这个X-Middleton 当机器人通过充当反向代理的Ezoic时,会附加。我在.htaccess 但它不起作用,因为源服务器允许所有X-Middleton.规则如下:# BLOCK BOTS RewriteEngine On RewriteCond %{HTTP_USER_AG
插件或不更新插件引起的漏洞问题?
我们公司的网站有40多个插件。那是很多。。。太多了。然而,每个插件都有一个用途。当将所有插件更新到最新版本时,我们注意到网站的部分内容被破坏。Yoast停止工作,分页停止工作,滑块停止工作,等等。。。我和一个朋友聊过,他是一家营销公司的开发人员,他们管理着100多个网站。他们不担心因为这个原因而更新插件。。。事情破裂了。既然网站上已经安装了一个插件,那么真的有必要担心更新所有40多个插件吗?无论插件是否处于活动状态,理论上我们不应该更多地担心插件本身,如果插件是最新版本的,就不应该那么担心了吗?我认为,如
将php放在/wp-content/ploads目录中不安全吗?
这个问题很直截了当,但我会提供所需的任何澄清。我这样问的原因是:我创建了一个儿童主题custom-functions.php 文件这允许开发人员在不编辑子主题的情况下自定义站点。我知道这就是儿童主题的目的,但为了简洁起见,我不会深入探讨所有这些背后的原因。我把custom-functions.php 在里面/wp-content/uploads/customizations. 这是安全风险吗?如果是这样的话,还有什么更好的地方可以放呢。我不想把它放在我的子主题中,因为当主题更新时,它会被覆盖。
如何防止XSS更改WordPress中自定义全局Java脚本对象和方法
我正在Wordpress中的一个项目中工作,该项目将多个项目排队。js文件,其中每个文件都会向全局javascript对象添加一个新方法,这是为了使所需的方法仅在满足某些条件时可用,如is_page(), is_singular(), etc.除了避免使用多个全局函数污染window对象之外,以这种方式添加方法的目的主要是能够在内嵌javascript中调用这些方法,这些javascript与WordPress函数一起添加,如wp_localize_script(), 或wp_add_inline_scr
是否可以限制/wp-json请求的Access-Control-Allow-Origin?
我的任务是管理由其他团队开发和配置的WordPress网站。在一次基本的安全扫描中,我意识到https://www.mywordpress.com/wp-json 不会出于某种原因限制原点。curl -H "Origin: https://www.thewrongorigin.com" -I https://www.mywordpress.com/wp-json HTTP/2 200 server: nginx date: Mon, 22 Mar 2021 11
Input sanitation
我有一个关于我最近为客户开发的wordpress网站的问题。直到现在,我才为只需要个人网站的小客户开发了一个网站,但是这个客户要求我重新开发他的网站,因为当前的网站存在很多安全问题。无论如何,我已经创建了这个网站,并向他展示了它,他问我是否可以“应用输入卫生条件,以便使用诸如@、&;、-、+、%不允许“登录”字段。因此,我的问题是Wordpress是否需要进一步开发以停止登录表单上的SQL注入等?我是否需要对登录字段应用输入卫生</当特殊字符更适合用作密码时,不允许使用特殊字符似乎很奇怪,所以
如何在WordPress的JS中安全地添加API安全密钥
我正在使用wp_localize_script() 从我的配置中添加变量。ini文件到我的内联JS代码(在Elementor的HTML块元素中)[请参见this 供参考]但这种方法添加安全密钥是不安全的,因为这些变量可以通过控制台访问。如何将API安全密钥安全地添加到JS代码中?我有什么办法可以做到这一点吗?提前谢谢你。