您当前的位置:首页 > TAG信息列表 > security
清理注释或转义COMMENT_TEXT()
我正在WordPress网站上创建评论模板。我注意到<script>alert(1);</script> 使用comment_text() 函数以显示我的评论。No bueno.如何正确清理和/或转义WordPress评论?这个esc_html() 函数,在这种情况下似乎没有任何作用。
您应该转义硬编码的URL吗?
我正在为客户端编写一个非常简单的社交共享插件。我使用这两个功能在每篇文章的底部显示共享按钮:<?php /** * Social buttons */ function zss_share_buttons() { ?> <div class="zss"> <div id="fb-root"></div>
如何保护WordPress上的脚本执行?
最近,我创建了一个脚本来更新Wordpress数据库中的记录。我基本上使用wpdb 要连接到另一个数据库,请绘制一些记录并更新Wordpress数据库。仅使用Wordpress,我找到的初始解决方案是将所有代码放在自定义模板上。因此,当我访问给定的URL时,就会发生更新。这个自定义模板自己完成所有操作,我甚至不给它传递任何参数。我只需要运行/访问URL。问题是,我不希望任何人都可以访问此脚本,但同时,我需要在预定的cron作业上运行它。那么,保护此脚本的更好方法是什么?有人能帮我吗?
WordPress会清理WP_QUERY的参数吗?
这是一个非常直截了当的问题,但它很重要,我在文件中找不到任何明确的内容。This question 针对\'s\' 参数。我想知道WordPress是否验证/清理any 其他参数。例如,在tax_query 是否自动进行消毒?Clarification:这是一个技术/工程问题,具体涉及WP\\U查询类对特定参数的作用。最近的几个答案提供了有关验证/消毒的哲学建议和一般最佳实践。但这不是这个问题的重点。我的目标是收集事实而不是观点。
我应该禁用wp-includes的目录列表吗?
出于我自己的好奇心,这更像是一个个人问题。我的一个网站似乎易受攻击,因为已启用目录列表(/wp includes)。这并不难修复,但我想知道如果没有任何文件可以访问,这到底有多严重?如果我点击任何文件,包括用户元和函数。php它要么返回HTTP 500,要么只是显示一个空白屏幕。那么,如果没有任何文件可以访问,黑客如何从访问目录中获益呢?
2021年使用WordPress_LOGED_IN限制对上传文件夹的直接访问
我正在寻找限制直接访问Wordpress Uploads文件夹的方法。我读过一些关于使用“Stackoverflow”的文章和博客文章;wordpress\\u logged\\u in“wordpress\\u logged\\u登录”;在里面htaccess,用于检查某人是否已登录,以及他们是否未对其进行限制。请参见下面的代码片段示例。然而,我也读到了一篇大约10年前写的帖子,说最好通过PHP来做这件事,因为检查cookie不是很安全,可能会被黑客攻击。然而,从那时起,Wordpress改进了Cook
如何在没有插件的情况下使用自定义表和FETCH()强制对密码保护页面的REST API进行身份验证
我正在实施REST API 具有fetch() 作为请求的承诺Password protected 带有的页面custom table 不使用插件(仅使用WP REST API 这已经被合并到WordPress核心-向WordPress团队竖起大拇指,这是一个明智的举动,谢谢)。一切都很好,只是我不能Authorization 在HTTP请求的标头中工作(始终传递,即使没有JWT或false标记,请参阅最后一步6.) 最后)。以下是我的步骤:1.)在MySQL中创建自定义表使用自定义表安装WordPres
WordPress站点被随机的PHP文件填满
两周前,当我试图通过浏览器访问我的一个WordPress网站时,我被重定向到一个广告页面。我走进了public_html 目录中找到了大量PHP 具有随机名称(乱七八糟的字母数字名称)的文件。我还发现很多WordPressPHP 文件已被更改,并且@include 顶部包含随机文件(大多数文件ico 扩展)。这不仅限于重定向到广告页面的站点,我的/var/www/ 目录-它们都被恶意PHP 文件。我发现了一些权限设置不正确的文件,并对其进行了更正。我将所有目录权限更改为755 和所有文件权限644. 使用
是否将cutom css代码回显到WordPress页面模板文件?这安全吗?
我创建了wordpress页面模板,我只想将此css代码添加到此模板内部。出于安全考虑,我应该逃跑吗?。有谁能帮我解决这个问题吗?。这是我使用的代码。<?php $style = "<style type=\'text/css\'> .post-related {position: relative; width: 21.333%!important;} </style>"; echo $style ; ?>
通过htaccess进行XMLRPC过滤不起作用
我的网站托管在共享实例上。他们面临常规的xmlrpc DDoS。我尝试了几种缓解措施来阻止这些攻击:安装了dedicated extension 这将禁用xmlrpc在该实例上的所有托管wordpress站点上,通过htaccess阻止xmlrpc,使用两种不同的代码:<Files xmlrpc.php> order deny,allow deny from all </Files> 以及 RewriteRule ^xmlrpc\\.php$
个人订阅中的密码最小长度
我有个人登记区。我已经有一个条件来检查密码和密码确认是否相同。我想添加一个条件来检查密码是否包含不少于8个字符。以下是我的代码的开头:$error = false; if (!empty($_POST)) { $d = $_POST; if ($d[\'user_pass\'] != $d[\'user_pass2\']) { $error = \'not same password !\'; } else {
Validating ajax search
是否有方法阻止用户输入<img src=x onerror=alert(test)> 表单的脚本标记?我当前的搜索页面使用ajax在输入字段中输入时加载搜索结果。我已经研究了清理功能,但仍然无法解决。我还安装了插件:防止XSS漏洞以下是表格:<form action="#" id="general-search" autocomplete="off" class="mx-auto">
我可以使用‘unctions.php’编写‘ReWriteCond’吗?
我想在中添加“重写条件”.htcaccess 但不幸的是,我无法访问它。我可以在函数中写条件吗。php?如果是,如何实现?我想添加以下行:RewriteCond %{QUERY_STRING} ^.{1000,}$ RewriteRule ^wp-admin/load-scripts\\.php$ - [F]
是否有办法在全球范围内应用esc_html(...)到所有输入和锚点以过滤出XSS标记?
我在WP开发2年后才开始接触XSS预防,所以我希望有一个简单的解决方案。安装旨在防止XSS滥用的插件不是一个选项。我需要以编程方式全局转义输入值并锚定HREF,以防止微型站点上的恶意XS。我想知道我是否可以在函数中这样做。带有此函数的php文件,除了我认为;\\u内容“;过滤器太宽:add_filter("the_content", "prevent_xss"); function prevent_xss($the_Post) {
不允许使用文件类型-Cronjob
我目前正在开发一个cron作业,它从外部源下载一个xml文件,并将其存储在wordpress媒体中。为了调试建议,我安装了插件Advanced Cron Manager,它允许我手动运行Cron作业。cronjob的手动执行工作正常,没有任何问题。当cronjob按照其时间表执行时,我面临的问题是:;很抱歉,出于安全原因,不允许使用此文件类型;。在我的cron函数中,我配置了:/** Allow all filetypes to be uploaded */ define(\'ALLOW_UNFI
使用WordPress cms时,我们可以隐藏多少信息?
只需使用WordPress启动并运行我的第一个网站。使用Wappalyzer和WPScan等工具。许多WebSite正在被曝光。我已经使用了隐藏我的wp插件。但仍然从WPscan收到此信息 | [!] 3 vulnerabilities identified: | | [!] Title: PWA for WP <= 1.0.8 - XSS | Fixed in: 1.0.9 | References: | - https:
Portfolio站点-关于此站点部分-发布一些代码安全吗
我正在使用下划线主题重新构建我的投资组合网站。我有一个“关于”页,其中有一节;关于此网站;。由于我计划在不久的将来申请web开发工作,我认为使用我的网站记录我的学习过程是一个好主意。问题:我计划在;关于本网站“;该网站的当前版本是使用WordPress构建的,这一节强调了主题,并发布了一些HTML和CSS,以提供更详细的构建过程。从WP安全的角度来看,这样做有多安全?
如何阻止WordPress管理员通过WooCommerce我的帐户页面登录
网站管理员可以使用woocommerce我的帐户页面登录。是否有任何方法可以防止这种情况并更改admin的登录页面?我的意思是管理员用户名、电子邮件和密码只有在我的自定义登录页面中才可以接受。
系统用户更改了系统设置
上周,我们收到WordPress发来的一封电子邮件,说管理电子邮件改为[email protected]使用WP活动日志插件检查日志,我可以看到该操作是由“系统”用户从IP执行的185.212.131.78. 需要注意的是:它似乎不是有效的用户,日志上的任何其他记录都显示了执行该操作的实际用户。当然,这个IP已经被阻止了,现在我想知道有人是如何在没有有效帐户的情况下远程更改系统设置的。有人知道发生了什么事吗?运行WordPress 5.8.2,更新所有插件
如何禁用新插件和主题安装,但允许更新?
我已经尝试过DISALLOW\\u FILE\\u MODS常量,但它也会禁用插件更新,这不是我所需要的。我需要自动检查主题和插件更新,并能够在Wordpress仪表板中安装找到的更新,但不允许安装新的插件和主题。我怎样才能做到这一点?