您当前的位置:首页 > TAG信息列表 > security
在模板文件中使用wp_LOCALIZE_SCRIPT-安全吗?
我的一个模板文件(不是functions.php)中包含以下代码$datatoBePassed = array( \'pageTitle\' => get_the_title() ); wp_localize_script( \'main-js\', \'php_vars\', $datatoBePassed ); 我想知道在函数之外执行类似操作时是否存在任何固有的安全问题。php。我的目标很简单——我只是将页
WordPress容易受到HTTPOXY的攻击吗?
WordPress易受httpoxy攻击吗?看见https://httpoxy.org/谢谢
我们应该使用WordPress官方网站上没有的插件吗?
我不确定我的问题在这里是否合适,请提前道歉,但我很困惑,需要一些有用的想法!我们使用this plugin 对于我们的网站,该网站最近已从WordPress网站中删除,并替换为suggested alternative. 替代方案非常昂贵,超出了我们的预算。我的网站最近遭到黑客攻击,一些插件文件中包含了一些垃圾邮件链接,包括这一个。由于插件不再受支持,因此不会有任何安全更新,这是漏洞的来源吗?
如何对留下评论的读者进行身份验证?
我正在考虑创建一个WordPress博客,而不是在WordPress上。但只需在托管网站上使用WordPress。我想允许在博客上发表评论,但我想知道评论员是如何认证的。(我没有使用WordPress的经验。)密码是否以明文形式存储?是否存储了哈希?是否使用bcrypt?他们的凭据是存储在网站的数据库中还是卸载到WordPress。com?关键是,我不想给用户带来安全问题。
按IP地址限制用户登录
我有一个网站,需要登录才能让用户查看该网站。我已经为所有内部成员设置了一个用于查看网站的用户,但是我只想将该用户限制为我们的特定IP地址。我可以看到,您可以通过htaccess将整个站点的访问限制为IP地址,但我只需要为一个用户实现它,因此他们只能从我们的IP地址查看网站。这可能吗?
即使插件处于非活动状态,也可以利用插件中的某些漏洞吗?
我刚刚收到Wordfence安全插件开发人员的通知,告知其他流行Wordpress插件中存在多个漏洞。这种情况下的一个例子是mailchimp表单插件,它可能会被广泛使用。我很想知道,即使插件处于非活动状态,是否也可以利用某些插件漏洞?(即插件存在于站点上,但当前未激活)
关于.htAccess、登录页面、更新的几个问题
我想保护我的登录页面,但这个问题也带来了一些新手问题,我猜。首先,如果我改变一些.htaccess 文件,我应该如何正确地做到这一点,以避免在WP core的未来更新中给自己带来问题?例如,如果我要下载并修改这种类型的文件,如果WP核心需要更新这个文件,会发生什么情况?另一个问题是关于替换登录页面的地址,所以只有我知道它。这可能吗?我知道有一些黑客的工具,他们运行,并获得服务器上的文件夹和文件的整个树。。。如果这不是真的,请你告诉我,我将不胜感激,如何删除到其他位置并重命名我的wp admin文件夹和/或
通过AJAX提交数据属性数据是否存在安全风险?
我写了一个简单的作者订阅插件。基本上,它显示了一个类似于YouTube的订阅按钮。当一个(登录的)用户点击它时,他们会订阅该作者,并会收到他们帖子的通知。我使用AJAX使按钮不刷新页面,并使用数据属性将作者ID发送到我的函数,但我不确定这种方法是否会带来任何风险。<button class=\"subscribe_button\" data-author-id=\"352\" data-action=\"subscribe\"> 从理论上讲,是否有人可以更改此数据属性的值以导致SQL
创建自定义发布类型后向其添加功能
我有一个由外部插件创建的自定义帖子类型。此插件使用与帖子相关的功能。我想将自己的自定义功能添加到此帖子类型。我已经看到了很多在注册新帖子类型时如何做到这一点的例子,但我现在不能添加这些功能,否则下次更新插件时,自定义功能就不存在了。创建自定义帖子类型后,添加功能的最佳方式是什么?谢谢
检查本地Wordpress php文件和数据库中是否有恶意代码的有效方法?
首先,我不是WP超级用户。最近我的一个朋友被黑客攻击了,我的意思是他很长时间没有更新他的WP,并且被注入了发送垃圾邮件的恶意代码,所以他的主人阻止了他。他只有被感染的文件,这些文件已经被开发人员检查和清理。。。手工现在,我应该安装一个运行他的代码的新服务器。但我想让一个工具至少检查主题和DB的代码。我将重新安装并重新安装插件,以确保这些插件没有错误代码。所以我只有手工清理的代码,所以我不知道我们之前有什么注入,所以我无法搜索相同的模式或任何东西。我找到了一些工具,可以检查WP网站上的错误代码,比如sucu
插件开发:有必要添加空的index.php文件吗?
在开发插件时,我应该包括空白index.php 文件,然后在plugin-name.php? 还是没有必要?建议使用什么文件结构?This?/some-plugin/some-plugin.php (functions) /some-plugin/index.php (blank) Or this?/some-plugin/index.php (functions) 通过对WPSE进行一些研究,我发现了一个问题;A关于我自己的问题:Should Plugin Folders In
WordPress安全问题将从主题选项表单的用户输入中输出数据
我的主题中有以下代码(如下)。我正在为我的主题选项使用redux框架。我的代码在一个看起来像这样的部分。我真的不确定这段代码的安全问题。请任何专家帮助我指出这里的任何安全问题。你生命中的几分钟将是非常感激和有益的。<?php if (isset($cosomic_options[\'blog_tag\']) && $cosomic_options[\'blog_tag\'] ) { ?> <div class=\"entry-meta-tag\">
如何防止来自数千个不同IP的wp登录暴力攻击?
调查问题。我发现我接到了很多电话wp-login, 但是来自许多不同的ip。关于如何处理它有什么想法吗?
在</Head>标记或</Body>标记之前打印跟踪码/像素码的安全方法是什么
以前打印跟踪代码/像素代码的安全方法是什么</head> 标记或</body> 标记主题选项。在里面header.php 在</head> 标签if ( get_theme_mod( \'before_head\' ) !== \'\' ) { echo get_theme_mod( \'before_head\' ); } 但用户可以在before\\u head字段中添加恶意脚本。如何输出安全/转义数据?
我的可湿性粉剂网站和密码被黑了,怎么办?
今天我意识到我的WordPress博客被黑客攻击了。我注意到了,因为标题改成了:+ADw-/title+AD4-Hacked By *** +ADw-meta http-equiv+AD0AIg-refresh+ACI content+AD0AIg-5+ADs-URL+AD0-http://***+ACIAPg +ADw-DIV style+AD0AIg-DISPLAY: none+ACIAPgA8-xmp+AD4- 过了一段时间,我无法使用常用密码登录,所以我转到主机的cPanel,并尝试在w
如何正确清理/保护来自前端的WP查询
我的前端有一个元素,如下所示:<div class=\"infinite-scroll\" data-query-args=\'{\"post_type\":\"post\",\"tax_query\":[{\"taxonomy\":\"category\",\"field\":\"term_id\",\"terms\":62}]}\'></div> 这是一个用来触发我制作的无限卷轴的容器。由于我希望它能够处理多个查询和多个前端情况,因此最简单的方法是将JSON编码的WP
设置HIPAA安全表单/文件上载
我的一位来自医疗行业的客户希望客户能够以维护HIPPA合规性的方式上传pdf。第三方解决方案的价格差异很大,但我主要担心的是-假设我们的网站受EV SSL保护,并且表单/文件上传解决方案符合HIPAA。将这样的解决方案嵌入WP页面是安全的还是仍然有风险?
安全+最佳实践:根目录还是WordPress内容文件夹上的www-data?
drwxr-xr-x 8 www-data www-data drwxr-xr-x 6 www-data www-data -rw-r--r-- 1 www-data www-data -rw-r--r-- 1 www-data www-data -rw-r--r-- 1 www-data www-data drwxr-xr-x 7 www-data www-data drwxr-xr-x 7 r
我是不是应该从URL中包含“nuled”或“空”的网站上安装插件到WordPress安装中?
我想提醒大家注意WordPress的人。在少数地方或网站上,你可能会发现一些免费的插件,通常是花钱的。这些网站的URL中通常有“null”或“null”。我应该安装它们吗?
Wordpress website Security
我创建了一个被多次黑客攻击的网站?我删除了整个网站并重新创建了该网站。什么是保护网站不被黑客攻击的最佳方法?