您当前的位置:首页 > TAG信息列表 > security
指向链接网站的传出新连接-为什么?
我主持了一个Wordpress网站,想微调我的防火墙。因此,我阻止了所有传出的新连接,除了wordpress服务器的更新。这很好——但我注意到,当我发布一篇包含链接的帖子时(使用<a> 标记)我的计算机想要连接到承载这些链接的IP。因此,在我的日志中,我看到到我链接到的所有IP的新连接失败。尽管屏蔽了这些,但我的帖子看起来不错——我只是想知道,为什么wordpress会连接到这些网站。有人能给我一个提示吗?Jus a sidenote:我已禁用Wordpress Update Service
为什么要在内部函数上使用esc_attr()?
我在高级主题/插件中看到了很多这样的内容。#1 - Why would you escape this? It\'s your own data. For consistency?function prefix_a() { $class_attr = \'a b c\'; // Some more code. return \'<div class="\' . esc_attr( $class_attr ) . \'&qu
内容-安全-策略阻止激活WordPress复选框
我有Wordpress网站(LAMP服务器)的内容安全策略:set Content-Security-Policy "base-uri \'self\'; default-src \'self\'; font-src \'self\' data: https://fonts.gstatic.com; frame-src https://www.google.com https://www.youtube.com; img-src \'self\' https://secure.gravatar.
我应该转义函数.php中添加的文字URL吗
我在函数中添加了一个片段。php文件,用于在woocommerce结账页面中添加信用卡图标。图标在我的媒体库中,所以我添加了图像的url。这不是一个输入,不会被更改,我应该退出它吗?代码:add_action (\'woocommerce_review_order_before_submit\', \'my_custom_woocommerce_icons\'); function my_custom_woocommerce_icons() { $icons
从`/wp-admin/upgrade.php`中删除样式`?ver=`
使用style_loader_src 用于删除版本查询的钩子工作正常,但是/wp-admin/upgrade.php 版本查询不会消失。是否有方法也可以从/wp-admin/upgrade.php 页
有没有办法在某些页面上强制使用SSL
我想在我的一些页面(带有表单的页面)上强制建立安全连接,但我不希望整个网站都使用ssl(降低速度)有没有办法将特定页面配置为需要ssl?
一次将会话限制为一个IP
在具有高级用户帐户订阅的网站上,我希望能够限制每次登录一台计算机。要做到这一点,最直接的方法是通过IP进行限制,但我还没有找到一个插件来实现这一点。有人知道我可以使用哪一个来获得此功能吗?相关:Login security question - Does WP show me if I\'m logged in from multiple locations?
在w3总缓存页面缓存中注入的垃圾邮件
我正在尝试修复一个已注入外部垃圾邮件的网站。经过检查,我发现外部内容(到目前为止,只是html广告不同种类的药物,没有脚本)是在w3 total cache创建的静态页面中。我怎样才能知道是什么原因造成的?显而易见的答案是w3 total cache插件本身,但pgcache实际上可由wordpress的任何部分写入,因此它可能是任何其他插件,甚至是WP核心。我在网上搜索了这个问题,但没有找到任何直接相关的。当然,wordpress会更新到可用的最新版本(3.0.2),就像每个安装的插件一样。这并不取决于
Securing Contact Form 7
我有一个客户,他的网站是我用Wordpress创建的。它有一个使用联系人表单7创建的联系人表单。该客户是一个较大组织的子公司,该组织的IT部门在其子域上运行扫描。要求我的客户保护联系人表单7不受恶意脚本的影响,或将其删除。当我询问他们测试的内容的示例时,我的客户告诉我,他们运行测试以查看脚本是否可以插入到输入中(即:<script>alert(\'hello\');</script>) 字段或作为url字符串(即:www.mydomain.com/contact?<scrip
从admin中删除tinyMCE并用文本区域替换
我创建了一个插件,其中我有一个自定义的帖子类型。我正在使用post_content 对于一些简单的文本。我不需要为这个字段提供任何花哨的编辑或数据插入,所以我寻找了一种从tinyMCE编辑器中删除按钮的方法。我从来没有找到一个很好的解决方案,所以我删除了editor 来自register函数中的自定义post类型支持。\'supports\' => array(\'title\',\'revisions\',\'thumbnail\'), 然后,为了创建一个区域来存放内容,我只需回显tex
Webservice credential storage
我正在开发一个插件,该插件调用带有安全标头的web服务。有人能推荐一种在WordPress网站上存储这些凭据的最佳做法吗?目前,我最好的选择似乎是将用户名、密码等存储为数据库中插件的管理选项。其他选项需要站点管理员直接编辑插件代码或配置文件。如果插件以某种方式分发给其他用户,我不希望这些凭据随插件一起传播。有什么想法吗?
处理电子邮件管道附件并检测不支持的文件类型
我有一个使用电子邮件管道的插件。处理电子邮件时,我希望将电子邮件中的所有附件添加到WordPress媒体库中。目前我正在使用wp_insert_attachment, wp_generate_attachment_metadata 和wp_update_attachment_metadata 但是,使用这些功能可以将任何附加到电子邮件的文件添加到WP媒体库中。让我担心的是,它可能会让人们附加恶意文件,这些文件很容易被访问并用于恶意目的。因此,我希望在处理附件时能够识别附件是否是受支持的文件类型。我已经调查
“丢失密码”功能真的是一个漏洞吗?
禁用密码重置我遇到了许多关于禁用密码重置的各种措施(即丢失密码检索)的安全强化文章。https://www.google.com/search?q=wordpress+disable+lost+passwordSQL注入我已经了解到,SQL注入可以用于获取用户电子邮件等,并最终通过截获密码重置电子邮件来获得对网站的控制,该电子邮件会自动发送给用户。https://hackertarget.com/attacking-wordpress/严重漏洞如果我已经受到SQL注入的保护(通过安全插件),我是否需要禁用
安全性:阻止直接访问php文件
我找到了两种阻止直接访问php文件的方法(虽然并不总是必要的,请参见https://wordpress.stackexchange.com/a/63004/60539)第一个是:defined( \'ABSPATH\' ) or die( \'No script kiddies please!\' ); 另一方面:if ( ! empty( $_SERVER[\'SCRIPT_FILENAME\'] ) && basename( __FILE__ ) == basename( $
PHP代码嗅探器-WordPress VIP编码标准
我正在尝试修改我的代码,以符合WordPress VIP编码标准。我有几个问题想解决,但我不确定最好的策略是什么。第一个问题是当我在保存metabox数据时验证nonce时:$nonce = isset( $_POST[\'revv_meta_box_nonce\'] ) ? $_POST[\'revv_meta_box_nonce\'] : \'\'; 我这里的错误是\'Processing data without nonce verification\'. 这很愚蠢,因为我只是将nonce
将esc_url与硬编码url一起使用
我在我的主题中添加了以下URL,但我被告知我必须使用esc_url(). 我想不出,如何将该函数与以下代码一起使用?<a href=\"http://pinterest.com/pin/create/button/?url=<?php echo urlencode( get_the_permalink() ); ?>&media=<?php echo urlencode($thumbnail); ?>&description=<?php
您需要转义硬编码的纯文本吗?
我开始玩下划线初学者主题,并注意到它使用esc_html_e() 即使是纯文本:<a class=\"skip-link\" href=\"#content\"><?php esc_html_e( \'Skip to content\', \'_s\' ); ?></a> 不这样逃避是否存在安全风险:<a class=\"skip-link\" href=\"#content\">Skip to content</a> 。。。
如何诊断插件资源404?
我正在为一个新客户做一些工作(非技术人员,他们以前的技术人员离开了)。他们的Wordpress版本是4.3.2。该站点在加载时出现一些JavaScript错误。使用控制台时,我注意到两个插件资源未加载引发404(未找到)错误:/wp-content/plugins/embed_quicktime/jquery-1.2.1.pack.js /wp-content/plugins/embed_quicktime/jquery.embedquicktime.js 然而,其他插件资源加载如下:/
普通Wordpress安装,我可以/应该在DISABLE_Functions中放什么?
我想采取措施来限制Wordpress安装受损可能对我系统的其他部分造成的损坏。Wordpress需要什么系统调用?我可以在disable_functions 配置文件:http://php.net/manual/en/ini.core.php#ini.disable-functions
WordPress是否包含响应404错误的“默认”反SQL注入代码?
我经历了“seven layers of the candy cane forest” 关于这一点…:)我们的插件通过POST请求接收数据。在安装了插件的特定站点上,我们观察到了奇怪的行为。In one specific scenario, the POST requests were erroneously generating a 404 (Not Found) error.我从一开始就非常宽泛,一点一点地缩小问题范围,直到我剩下以下复制场景。令人费解的错误发生在:将任何“POST”请求发送到以下地址