您当前的位置:首页 > TAG信息列表 > security
转义内置WP函数返回字符串
是否应该过滤内置WP函数的输出,例如get_permalink() 以及著名的WP插件,如ACF(高级自定义字段),如get_field()?比如说get_permalink() 呼叫home_url() 哪个呼叫get_home_url(), none of which do any filtering of the data. 以类似的方式工作the_content(), the_title() 以及其他熟悉的循环相关函数。因此,以下内容是否足够?(否esc_attr() 用于WP和ACF功能<
使“默认”WordPress页面和功能不可访问
我正在尝试为特定用户或特定密码创建特定的密码保护迷你网站(单wordpress页面)。例如,有人单击urldomain.com/url1 如果他有这个页面的密码,他可以查看它。通过使用wordpress的简单密码保护内置功能,这相当简单。现在棘手的是,我不希望这个人能够进入域的任何其他部分。com安装wordpress。显然不会有任何可见的菜单,但有人可能会点击domain.com/s 然后转到搜索页面或404页面。目前,我将禁用wordpress的搜索功能,我将清空存档页和404页。除了登录和wp管理部
WordPress限制插件文件直接访问
我正在开发WordPress插件,但在此之前,我已经检查了已经开发的少数插件的代码。我看到了一种常见的方法,可以通过以下行限制插件开发人员直接启动插件代码的位置// If accessed directly, abort if ( ! defined( \'WPINC\' ) ) { die; } 这在插件索引文件中。我的问题是,当我们安装插件时,这是第一个要执行的文件,所以它之前定义在哪里,并且不会中止对该文件的执行?
仅仅泄露AUTH_KEY就是一个安全问题吗?
我正在解决Wordpress插件问题。它是一个插件,可以生成服务器上现有文件的zip文件,并返回下载文件的链接。插件https://wordpress.org/plugins/sp-client-document-manager/插件插件是问题的根源。http://smartypantsplugins.com/downloads/sp-client-document-manager-batch-operations/该插件创建一个目录,使用AUTH\\u键作为目录名来保存生成的zip文件。当url返回给客
在WordPress插件开发中,用户的检查能力和用户的角色检查哪个更安全
假设我需要检查登录的用户是订阅者,而不是其他任何人。因此,如果我检查“读取”之类的功能。订阅服务器正常,但“读取”功能也与管理员/发布服务器相关。因此,仅检查功能并不能保证其仅适用于订阅者。第二个场景,假设我创建了两个自定义角色,如“供应商”和“分销商”,它们都具有相同的功能。所以在这种情况下,区分并提供安全检查的作用是有益的。检查角色而不是检查功能是否存在任何缺点或安全问题?
Are the default salts secure?
安装新的wordpress时,应该做的一件事是更新wp-config.php. 该部分如下所示define(\'AUTH_KEY\', \'put your unique phrase here\'); define(\'SECURE_AUTH_KEY\', \'put your unique phrase here\'); define(\'LOGGED_IN_KEY\', \'put your unique phrase here\'); define(
消除xmlrpc.php的最佳方法是什么?
消除xmlrpc的最佳方法是什么。当你不需要的时候从WordPress下载php文件?
Security issues with WP sites
我刚刚不得不处理我的一些WordPress网站被黑客攻击的问题。第一次放置索引。html文件,并补充了我的管理员用户。一旦我觉得我清理了这个,它再次发生,但它改变了我的标题标签为“被巴拉狙击手黑客”,并从每个网站的页脚小部件被删除。我的WHM帐户不是仅限WP的网站,所以我知道它不可能是黑客从那里访问的。我已经在google上搜索了很多次,并纠正了一些问题,例如没有将id=1设置为admin、captcha插件等。我觉得这会再次发生。我在这里是想问一下,今天或昨天是否有人遇到过这个问题,或者你是否曾经被巴拉
Frontend Password change
首先,我很抱歉,如果有重复的漫游在某处。。。在过去的一个小时里,我花了大部分时间寻找解决方案,但运气不好,但也许我只是在挑选关键词方面很差劲。目前正在为客户端开发前端概要文件环境,提供的选项之一是设置和更改密码的能力。我似乎找不到可靠答案的一件事是,我是否需要对该用户输入密码执行任何安全措施,或者wp\\u update\\u user()函数是否内置了该密码?我最初认为我需要在传递给wp\\U update\\U user的user\\U pass的字符串上使用wp\\U hash\\U密码。。。当然,
在使用wp_INSERT_POST时,我应该担心SQL注入吗?
我创建了一个表单,可以通过前端向用户插入帖子。我使用wp_insert_post 作用我应该担心SQL注入还是wp_insert_post 函数处理它?
是否通过子域、不同服务器上的非WordPress页面注销?
类似于上的问题Get wp_logout_url function to work on external (non-Wordpress) page我面临的问题是,子域位于不同的服务器上,因此我无法包含/要求wp-blog-header.php 文件有没有一种方法可以让我将允许即时注销的域列入白名单,就像您可以为redirect whitelist.如果没有,我如何允许子域(具有远程sql访问权限)创建有效的注销链接,绕过“是否确实要注销”通知。回复:@SatbirKira这样做是为了确保注销在一定程度上
允许访问-控制-允许-来源的危险:*仅适用于提要?
我想使用这样的函数来允许访问来自各种服务的提要,但我对安全含义的了解有限。我想我是安全的,因为我限制了对feed的访问。如果我这样做,会造成什么危险(如果有)?add_action( \'pre_get_posts\', \'add_header_origin\' ); function add_header_origin() { if (is_feed()){ header( \'Access-Control-Allow-Origin: *\'
让WordPress目录拥有www-data的所有权安全吗?
我不是服务器或安全专家,所以如果我的问题听起来很奇怪,请原谅。我正在使用nginx服务器在ubuntu 14.04上运行wordpress站点。我在安装新插件时遇到了一个问题,所以我将所有wordpress目录权限从我的服务器用户更改为www数据,它开始正常工作。我的问题是:将wordpress目录的所有权授予www数据用户是否安全?如果没有,请提出备选方案。提前谢谢。
不同版本WordPress的相对安全性
由于WordPress的每个主要版本(如4.0或4.4)都有自己的一系列安全更新(目前为4.0.10或4.4.2),更新的较新主要版本是否比更新的较旧版本更安全?更具体地说:4.4.2(2016年2月2日起)是否比4.0.10(2016年2月2日起)更安全?4.5(作为4.5.0首次发布时)会比4.4.2安全得多吗?或者它可能不如4.4.2安全,因为4.5还没有安全更新?
在注册中筛选和验证用户角色
我想在注册表中显示用户角色的选择框。我正在使用此模型:/* ROLES IN LIST REGISTRATION */ // 1. Add a new form element... add_action( \'register_form\', \'odin_register_form\' ); function odin_register_form() { global $wp_roles; echo \'<select
在我的页面中包含php内容的正确和安全的方式
我有一个我使用的网站[insert_php] 将php内容插入到我的页面。我所做的只是使用php\'s include 在insert\\u php中包含我的复杂php脚本。不久前,我问了一个问题,因为这样做和使用insert\\u php而受到了高度批评。正确的方法是什么?让我解释一下我所拥有的:我从头开始用手编写了一个php页面。这个php在我的系统上执行一些复杂的命令,从我的服务器提取数据并显示它们。在wordpress页面中包含此php脚本/页面以显示数据的正确方法是什么?
在WordPress插件中使用加密类
我正在制作一个处理敏感数据的WordPress插件。因此,我需要使用可靠的加密方法存储/检索日期。我在许多php加密包装器类中进行了一些搜索,最终找到了Defuse\\Crypto 作为最佳选择之一。该类至少需要PHP 5.4,并且还使用openssl\\uuU和hash\\uHMAC你觉得怎么样?在用户主机上安装插件时,我是否会遇到这些要求的问题?或者共享托管公司默认覆盖它们?非常感谢。
Extra themes - ok or bad?
我知道我是这里的新手,但我只是想知道,如果你在Wordpress设置中保留额外的主题,会不会给你的网站带来膨胀?这些其他主题即使未激活也会带来安全风险吗?我想最好删除任何未使用的主题,但我注意到在其他设置中有很多未使用的主题,所以也许这并不重要?谢谢你!
有必要吗?
你好,各位文字记者今天,我意识到大多数WordPress网站都有这样一个小小的足迹:<meta name=\"generator\" content=\"WordPress 4.4.2\" /> 其中,它指示当前页面是由哪个“系统”生成的。现在我突然想到三个问题:如果我删除这一行,有什么缺点?如果我不谈这一行,有什么好处?通过指示WordPress版本,(邪恶的)机器人搜索漏洞并尝试利用我的网站,难道不是更容易吗</我希望这里有人能让我清醒一下。
通过隐藏非公共资源提高WordPress安全性
我是wordpress的新手,我想通过隐藏非公共资源来提高wordpress多站点的安全性,例如wp admin、wp config等。我的设置似乎有效,但我不知道这个设置是否会破坏某些功能(核心功能、流行插件等)我的设置一般都好吗</我的设置提高了真正的安全性,还是我在浪费时间</httpd虚拟主机。conf(apache)# Disallow public access php for .htaccess and .htpasswd files <Files \".ht*\"