您当前的位置:首页 > TAG信息列表 > security
验证用户是否从WordPress 4.0以后的其他应用程序登录
我尝试在我的节点中实现。js应用程序是验证用户cookie是否有效的一种方法。我在互联网上找到了一些帖子,他们很好地向我解释了这些事情,但当我尝试实现它时,我使用了Node的WordPress身份验证模块。js,我发现它不起作用了。经过一些搜索,我发现WordPress 4.0 出于某种原因:现在,如果logged_in cookie name is still hashed with MD5, 哈希salted密码现在为sha256 (or sha1 if impossible) encrypted,
是否在执行PHP之前限制登录尝试?
我管理多个WordPress安装(所有相关/交叉链接),在过去的几周里,我一直受到暴力攻击,足以在多个场合使我的服务器崩溃。我继续安装了WP Limit登录尝试,但我想要更好的东西。我仍然看到资源利用率的峰值,我想这是因为即使跳过了对DB的用户/密码检查,WordPress登录代码仍然在为每个请求执行。我的堆栈是Apache/PHP-FPM前面的Nginx。有没有一个工具可以让Nginx进行阻塞?谢谢
附加到wp-login.php和xmlrpc.php
我收到许多关于我的wp登录的请求。php和xmlrpc文件,现在我刚刚设置了一个htaccess来阻止对xmlrpc的请求,但您建议我如何阻止wp登录?谢谢
从主题中的文件夹加载所有文件-安全问题?
我在下面的配置文件中使用这段代码,自动要求同一目录和子目录中的其他PHP文件。这有助于我的工作流程变得更加高效。我担心我应该在这段代码中使用更多的wordPress安全功能,因为我目前没有使用任何功能。如果这段代码有任何wp安全增强功能,有人能推荐一些吗?<?php $theme_path = \'wp-content/themes/\' . get_template() . \'/acf\'; $theme_path_admin = \'../wp-content/themes/
如何安全地允许用户在CPT上上传?
我有一个带有WP媒体的表单,允许用户在前端上传自定义帖子类型。每次我尝试以用户身份上传时,我都可以You don\'t have permission to attach files to this post.进一步调查后,我在文件中被拒绝了行动ajax-actions.php 它检查的地方current_user_can( \'edit_post\', $post_id ) 在上载文件之前。我一直在努力使用user_has_cap 筛选以允许用户执行此操作,但它看起来非常不安全:public funct
如何将我的WordPress插件安全地连接到远程数据库?
首先,我对wordpress插件没有太多经验,但我正在开发一个插件,该插件必须连接并将数据发送到远程数据库(它已经在这样做了)。但此时我的连接根本不安全,因为所有数据库信息都显示给网站管理员。这是我目前的代码,它可以工作,但我如何才能确保没有人会看到此文件中的数据库数据?<?php function webARX_connect_to_db(){ $servername = \"remote_host\"; $username = \"username\";
SANITIZE_TEXT_FIELD()是否足以保存到数据库?
情况就是这样。我们允许用户输入输入数据,即user\\u first\\u name和user\\u additional\\u注释。然后我们使用sanitize\\u text\\u field(),它被命名为save。但在此过滤器之后:Thomas\' OR SELECT * FROM wp_user仍以全文形式保存到数据库中。和\' 字符未转义为' 或\\\'.我使用$wpdb->query(\"INSERT INTO A (a,b,c) VALUES (\'{$a}\', \
试运行现场:制造公共安全问题
以前,我们的暂存站点仅被锁定为本地访问。我们聘请了第三方开发人员协助resolving a theme 通过我们的“本地暂存服务器”远程。为了授予他们访问权限,我们让登台服务器通过DNS中的A记录从外部解析到登台子域。据我所知,这不是最佳做法,我认为我们需要进一步确保这一点。我是通过IP或密码限制对整个子域的访问,还是有更好的方法?
WordPress前端表单-允许提交PHP代码
我只是创建了一个前端表单来为公众人士提交帖子。它工作得很好。我需要允许通过该表单提交PHP代码(因为这是PHP教程网站)。我需要确保它不会损坏我的网站。如何使其安全?
Error on Wordpress Login
我之前正在编辑我的wordpress网站,在我更改ISP之前没有任何问题。然后,当我尝试登录我的网站时,出现了此错误:不可接受!在此服务器上找不到请求资源的适当表示形式。此错误由Mod\\u Security生成。解决这个问题的最佳解决方案是什么?
像UPDATE_POST_META这样的默认函数使用用户输入安全吗?
默认功能如下update_post_meta() 使用用户输入是否安全?e、 g。update_post_meta(76, \'my_key\', $_GET[\'value\']) 或者我应该使用$_GET[\'value\'] = sanitize_text_field($_GET[\'value\']); 使用前update_post_meta(76, \'my_key\', $_GET[\'value\'])
用来检查登录信息的php文件在哪里?
我想在我的wordpress网站的用户名和密码验证功能中为特定用户名添加一些额外的检查,但我找不到正确的php文件。。。/* I would like to do something like this */ if ($username == \"testuser_with_no_rights\") { /* ... */ } else { /* do everything as it was defined originally */
我的子主题Functions.php是否需要if{die}安全性?
我是PHP新手,但我注意到几乎每个PHP文件都有一个安全代码段,“如果没有以正确的方式访问,就死”脚本;my question, 是否有子主题functions.php 还需要这样的东西来保证安全吗?PHP:if ( ! defined( \'ABSPATH\' ) ) { die( \'Direct Access Not Permitted\' ); }
AJAX随机数验证失败
我有一个投票系统,其中一个帖子列表是使用存档模板打印出来的。每个帖子的投票按钮都有html数据属性,其中包含vote-id 以及vote-nonce. 单击投票按钮时,将发出一个AJAX调用,其中包含投票id和投票nonce。这些应该在服务器端进行验证,但它们似乎失败了wp-verify-nonce. 调试并回显发布的数据可确认其与原始数据完全相同。AJAX PHP函数:function submit_vote() { $vote_id = intval($_POST[\'vote_id\
在更新数据库之前和发送电子邮件更改电子邮件之前要求确认当前用户的电子邮件
我喜欢用户更新默认“电子邮件”字段的核心功能。例如,username1可以编辑自己的配置文件并更改其“电子邮件”字段[email protected]到[email protected]然后单击保存。更新后,我喜欢wordpress core发送给[email protected]通知数据库中发生了更改。这封电子邮件是core的“send\\u email\\u change\\u email”功能提供的,我没有篡改它。然而,我希望数据库从[email protected]到email2@exam
检查xmlrpc请求的来源
我让webapp A(运行wordpress)与webapp B(运行Java,没有wordpress或php)对话。B通过https向A发出xmlrpc请求。为了保护A上的xmlrpc端点,我想验证调用方的身份,即确保A只接受B生成的xmlrpc请求。在Java中,这可以通过抓取HttpServletRequest对象并检查远程主机来实现。不太确定如何使用php/wordpress实现这一点。感谢您的指点。。。
将分区限制为登录用户的最佳做法是什么?
作为一个新手,我很难找到一个好的起点。我相信我的情况相当普遍,也许这个问题在其他地方已经得到了全面的回答。我正在为一家非营利机构创建一个简单的网站。公共前端有基本的关于/博客/捐赠/联系页面。(非付费)会员专区将有一个博客、活动日历、论坛和一个显示所有用户元信息的表格。我正在寻找实现这一目标的最佳起点。我不知道是否要建立一个成员。领域org子域,或者简单地向受限页面添加代码,从而重定向未登录的用户。提前感谢您提供的任何见解。我的搜索继续把我带进WordPress插件的丛林,我感到迷路了。
What are nulled themes?
在WordPress中有一个概念;无效主题“。我(在谷歌上)搜索了有关它的信息,发现一些人说它被黑客入侵了,其他人说它没有。我运行了;iThemes安全”软件覆盖it,一切正常无误。问题是:都是;无效主题“被黑客攻击或不安全?Is“是”;Themekiller“;(http://www.themekiller.me) 一个安全的网站,可以下载;空主题“?
我的网站认为它是安全的,但事实并非如此
我的网站在HTTPS上加载排队的内容,但它不是一个安全的网站。我在负载平衡器后面有几个PHP站点,在另一个域上有一个代理ssl证书。此网站没有证书。当我输出时is_secure 当我输出$_SERVER[\'HTTPS\'] 我明白了\'on\'.Here is a copy of my $_SERVER dump.没有其他网站存在此问题。我试图使用force_ssl_content(false) 在我的功能中。php,但没有任何运气;事实上,它只是破坏了网站。没有看到任何如何避免设置SSL的示例,只有如
在前台使用admin-ajax.php安全吗?
我正在使用Filter Custom Fields & Taxonomies Light. 我发现它正在使用admin-ajax.php 在前端进行的AJAX搜索甚至没有登录。请参见:https://plugins.svn.wordpress.org/filter-custom-fields-taxonomies-light/trunk/profi-search-filter.phpadd_action( \'wp_head\', \'sf_head\', 1 ); function sf