您当前的位置:首页 > TAG信息列表 > security
当主机阻止数据库时,阻止显示Setup-config.php页面
我的托管服务有以下限制。每个用户的最大数据库查询数为75000次/小时</我的网站很少超过这个限制,所以我不想换一个新的主机。但是,当超过该限制时,我的网站将显示以下屏幕截图:This allow user to overwrite my files. Is there way to stop it?
防止用户枚举:哪种逻辑更好?
我正在禁用user enumeration 出于安全目的,防止通过查找用户ID泄露用户名。相反,每当有人试图通过ID查找用户名时,例如访问以下网站:http://example.com?author=1 它会将他们重定向到主页。在四处搜索之后,我找到了两个具有此功能的插件,但它们都使用略有不同的逻辑来检查是否有人试图枚举:逻辑#1if ( preg_match( \'/(wp-comments-post)/\', $_SERVER[\'REQUEST_URI\'] ) === 0 &&a
XML-RPC错误他们知道我的用户名吗?
我注意到我的博客站点上有很多XML-RPC身份验证失败。这可能是正常的,白痴们试图破解wordpress网站,但令人担忧的是,日志中显示的用户名实际上是我的管理员用户名(我没有使用admin,实际上我有一个没人能猜到的用户名)。发生什么事了?
可通过开源获得的随机数操作和名称
我正在使用一个插件,它可以公开其代码。因此,任何人都可以看到$action 和$name 用于生成nonce的参数。这是否会使我的站点更容易受到攻击,因为这会降低这些参数提供的附加安全性?因此,我是否应该用自己的值替换这些参数?谢谢
FORCE_SSLLADMIN影响子域
我在主机的根目录中安装了Wordpress。它包括该主域的SSL证书(例如。domain.com; 不是通配符证书)。当我包括define(\'FORCE_SSL_ADMIN\', true); 在wp配置中。php,突然所有子域也尝试重定向到https,尽管这些子域没有SSL证书。有些子域也是Wordpress安装在我的主机的子文件夹中(例如。test.domain.com), 但其他主机则托管在完全不同的主机上。当我看着chrome://net-internals/#hsts 我明白了:static_
预览/更新某些页面会导致“请求的URL被拒绝”错误
wordpress网站突然出现问题,在某些(并非所有)页面上,当您单击“预览页面”或“更新更改”时,会显示错误消息:“请求的URL被拒绝。如果您认为这是一个错误,请与网站管理员联系。您的支持ID是:9641638102880218190“可以通过直接在浏览器中输入预览url或单击“预览”按钮时单击“在新选项卡中打开”来避免此问题。但是,您不能右键单击并在“更新”按钮上执行此操作,因此它不能解决我的问题。我注意到的一点是,这些页面都倾向于为页面分配一个或多个类别。除此之外,我想不出它所出现的页面之间有什么相
我如何从技术上证明WordPress是安全的?
我的一个客户强迫我在没有WordPress的情况下完成他们的项目。但WordPress最符合他的要求。他说的是,WordPress是不安全的,因为WordPress是开源的,每个人都知道代码。因此,黑客攻击的几率比定制网站高。这是他唯一不喜欢WordPress的地方。我如何证明WordPress是安全的,即使代码对每个人都是开放的?
检索$_POST数据以在不使用本地化脚本的情况下发送到Java脚本
在这里,我需要访问$\\u POST数据,以便向javascript发送敏感字符串,而不使用本地化脚本,也不允许敏感字符串在页面的控制台或源(html)中可用。我研究过AJAX可以防止来自PHP的敏感字符串显示在页面源代码(html)上,因为这会给我们带来安全问题,但当我尝试这种方法时,全局$\\u POST在连接到wp\\U AJAX\\uu{action}的AJAX函数上不可用。还有其他方法吗?任何帮助都将不胜感激,谢谢!UPDATE 哦,顺便说一句,在数据库中保存数据不是一个选项,因为这将在站点上提
有人能解释一下esc_html的用例吗?
我正在浏览(下划线)starter主题,发现他们几乎在所有方面都使用esc\\U html。只是函数中的一个示例。phpregister_nav_menus( array( \'primary\' => esc_html__( \'Primary\', \'_s\' ), ) ); register_sidebar( array( \'name\' => esc_html__( \'Sidebar\',
Linux上明确的WordPress目录所有权和权限
我知道,关于这一点,到处都有上千个问题,相信我,多年来我一直在尝试各种可能的解决方案[不是夸大其词],每一个都不是缺少一个关键部分,就是根本不起作用[根据我的经验]。我正在为linux上的wordpress目录用户/组所有权和权限寻找一个可靠、完整、开放的解决方案。我认为每个人都应该寻找这些需求:最先进的安全性、自动更新和sftp访问。如果我没有遗漏任何东西的话,事实很简单:如果我们配置web目录的所有权[在我的情况下/var/www/] 专用用户[含义not webserver用户—在我的示例中是www
使用全局变量或返回所述变量的函数进行站点范围的私有可湿性粉剂设置?
我有很多函数扩展各种插件并为站点提供逻辑,这些函数使用不同的信息位,我想将这些信息保存在一个地方并访问它,但对使用全局变量感到不舒服,因为我担心由于代码中的漏洞,它们可能会被复制,或者更糟,在全局范围内被覆盖,然后传递给函数。然后我再次认为这有点荒谬,因为如果我的代码有这种漏洞,那么它无论如何都会被破坏——但我确实觉得,在我出错的地方显示一个全局变量而不是预期的变量,仍然比能够调用函数更有可能。其中一些信息是WP加载的资源名称和路径,其他信息ID和重定向页面的路径。我在想$settings = array
使WordPress管理员登录尝试失败返回401
目前,wordpress默认值在登录尝试失败或成功时返回200。所有web应用程序框架使用的现代标准是在登录尝试失败时返回401(或403)。这允许第三方工具(如waf、fail2ban等)检测暴力强迫尝试并从wordpress外部阻止它。我找不到可以在哪里进行更改,或者是否有提供此类功能的插件。是的,我很清楚有插件试图从Wordpress内部提供“暴力阻止”。但除了自身存在问题外,它们还容易被Wordpress安装内部关闭。而防守是在wrong 数量所有这些请求都没有成为周界防御,而是命中了wordpr
将wp-config.php移到根目录之上会导致没有插件更新
我复制了原件wp-config.php 并保存了它above 这个root.在根映射中,现在有一个wp配置。具有以下设置的php:define(\'ABSPATH\', dirname(__FILE__) . \'/\'); require_once(\'/home/debxxx/security/domain.com/wp-config.php\'); 这很好用。现场一切正常。我只在插件更新启动时收到错误消息。警告:取消链接(/home/debxxx/security/domain/w
了解WordPress中与特定修复程序相关的SVG漏洞
我已经使用上提供的答案为我的Wordpress徽标启用了SVG上载this stack link, 尽管已经在许多地方读到,Wordpress站点中的SVG支持使其容易受到脚本攻击。这里只有一个这样的来源:For what security reasons are svgs blocked in the media uploader?我的问题有三个方面:1) 据我所知,我使用的黑客(基于the above link) 允许我上载徽标的SVG。这是否也意味着最终用户(非管理员)可以上传恶意SVG,如果我允许
使用AJAX加载帖子时使用随机数
这更像是一个安全问题。我有一个博客布局,在我的帖子底部有一个加载器,当你找到它时,会触发ajax调用,它会调用将呈现更多帖子的函数。这一切都有效。但有一件事困扰着我:我应该使用POST 或GET 方法这个GET 使用执行代码嗅探时不会触发nonce问题phpcs, 而与POST 我得到了无需nonce验证即可处理表单数据错误现在,我所做的就是通过调用连接到wp_ajax 和wp_ajax_nopriv 行动。在这种情况下,我应该担心安全性,并在我的博客中附加一个nonce字段,还是只使用GET 方法替代?
出于安全考虑,是否重命名install.php?
几年前,我读了一些关于如何强化WP站点的博客,其中一个建议是重命名您的安装。php文件,以便有人无法在当前WP站点的基础上重新安装新的WP站点。当您现在更新WP时,似乎会安装。php文件被放回。我一直在用谷歌搜索这一步骤是否仍然必要,但没有发现任何有用的东西。有没有确凿的证据表明这仍然是一件值得实施的好事情?或者我可以安全地把这个从我要做的事情清单上删除。谢谢
SELinux安全VS WordPress更新
我们有一个相当大的Wordpress多站点安装lots of themes/plugins. 因此,我们经常有新的可用更新(核心/主题/插件)。我们不使用automatic updates :AUTOMATIC_UPDATER_DISABLED 是trueDISALLOW_FILES_MODS 是false</实际上,我们在服务器端使用安全系统(Security-Enhanced Linux) 那个prevent file modification. 我们必须手动进行更新,首先禁用SELinux,然
如何防止直接访问我的自定义插件文件夹/文件
我想在自定义插件主文件上编写此代码,以防止访问文件夹/文件。define( \'FTEC_DIR\', dirname( __FILE__ ) );
有没有办法检查用户登录并让他登录?
我为自己的网站编写了一个插件,其中我遇到了一个问题,如“用户登录到网站后,如果他注销,然后再次单击浏览器后退按钮,则再次显示上一页,而不是登录页”。对于这个问题,我使用以下js代码修复了它:history.pushState(null, null, document.URL); window.addEventListener(\'popstate\', function () { history.pushState(null, null, document.URL); });&#
是否应该转义`GET_TEMPLATE_DIRECTORY_URI()`?
应该get_template_directory_uri() 使用转义esc_url()?我这样问是因为以默认主题“二十一五”为例,相同的函数在两个不同的地方使用,但只有一个地方是转义的。wp_enqueue_style( \'twentyfifteen-ie\', get_template_directory_uri() . \'/css/ie.css\', array( \'twentyfifteen-style\' ), \'20141010\' ); -<script src=\"&