您当前的位置:首页 > TAG信息列表 > security

  • 如何让上传的图片在HTTPS的编辑器中加载?

    时间:2011-10-08

    我的网站的管理部分使用HTTPS。除了TinyMCE编辑器(post和page富文本编辑器)中的图像使用http而不是https加载之外,这项功能运行得非常好,因此我收到了一条“不安全内容”警告。我不想为前端用户更改图像的实际url;也就是说,当有人正常访问博客帖子时,我希望使用普通HTTP加载图像。但当我编辑时,它应该加载HTTPS。我该怎么做?

  • 我需要找出哪个是检查数据库正确登录(用户名、密码)的文件

    时间:2011-10-28

    我允许用户在我的页面中注册,但我想提高数据库中保存的密码安全性。为此,我需要找出进行查询的文件where pass=pass and login=login是哪一个?非常感谢。

  • Are Nonces Useless?

    时间:2011-10-28

    这可能是一个不着边际的问题,但请听我说完-使用Nonce来防止刮刀(phpcurl刮刀等)之类的东西,难道不是有意义吗?但我的Nonce打印在文档的头部,如下所示:/* <![CDATA[ */ var nc_ajax_getpost = { ...stuff... getpostNonce: \"8a3318a44c\" }; /* ]]> */ 因此,如果我正在构建一个快速刮刀,我只需从该页面获取nonce值,然后在我的帖子

  • 在IFRAME中嵌入WordPress管理员

    时间:2011-11-10

    我正在尝试将管理员“new post”WordPress页面嵌入iframe:<iframe height=\"500px\" frameborder=\"0\" width=\"740px\" src=\"my_wordpress_domain/wp-admin/post-new.php\"/> 出于某种原因,iframe加载一个空白页。链接本身在一个单独的选项卡中工作,wordpress主页也是如此。这是一个安全问题吗?如果是,我该如何规避它?

  • Secure WordPress:更改管理员

    时间:2011-11-12

    如果这是一个非常愚蠢的问题,我很抱歉。我一直在寻找如何保护我的WP的方法,许多网站建议创建一个新的管理员用户帐户并删除旧帐户。现在,如果我使用不同的用户名作为作者(在写评论等时),黑客怎么还能知道我的管理员用户名是什么?我只是想知道这个步骤是否真的有意义,除非您的管理员用户名是“admin”。非常感谢您的澄清。

  • 停止WordPress自动转义$_POST数据

    时间:2011-11-27

    我有一个自定义的前端表单,它创建了一个自定义的post类型post,并且刚刚发现WordPress会以与Magic Quotes相同的方式自动转义$\\u post数据。我禁用了Magic Quotes,并创建了一个在同一域上运行的测试表单。单独运行时,不会转义任何数据。但是,当我将其作为WordPress页面的页面模板运行时,原始$\\u POST数据会被转义,即使用print\\r($\\u POST),所以在进行任何处理之前。我也尝试过多个主题,结果也是一样的。有人知道在哪里/如何关闭此功能吗?是否

  • 如何正确保护我的WordPress安装?

    时间:2011-11-29

    我目前在自己的服务器(fredericpilon.com)上,有自己的网站。Wordpress是CMS的一个大人物,它可能会成为黑客攻击的目标。关于如何正确保护我的Wordpress安装免受上述黑客和作恶者的攻击,有什么提示和窍门吗?

  • Protect HTML in Comment

    时间:2011-12-07

    在wordpress评论系统中,它使用HTML。我想保护在wordpress评论系统中插入HTML。

  • 我应该对这些信息有多担心?

    时间:2011-12-12

    我今天收到了大约50条类似的信息:WordPress防火墙检测到并阻止了潜在的攻击!网页:域。com/索引。php?选项=com\\U simpledownload(&U);控制器=../../../../../../../../../../../../../../../..//过程/自身/环境%00警告:URL可能包含危险内容!有问题的IP:211.147.221.42[获取IP位置]有问题的参数:控制器=../../../../../../../../../../../../../../../../.

  • 如果用户未登录,如何保护上传?

    时间:2011-12-22

    我使用WordPress作为一个私人网站,用户可以在这里上传文件。如果用户未登录,我使用“私有WordPress”阻止访问该网站。我想对上传到uploads文件夹中的文件执行同样的操作。因此,如果用户未登录,他们将无法访问:https://xxxxxxx.com/wp-content/uploads/2011/12/xxxxxxx.pdf如果他们试图访问,但他们没有被记录,那么他们应该被重定向到登录页面,例如。我发现了一个名为private files的插件,但上次更新是在2009年,它似乎在我的Word

  • 如何在不要求用户登录的情况下对WordPress站点进行密码保护?

    时间:2011-12-28

    我不希望人们必须登录,我只想提示他们一个问题,如果他们能回答,他们就可以访问该网站。我找到的所有解决方案和插件似乎都满足不了我的需求。这种事情存在吗?

  • 在没有硬编码的情况下重命名wp-admin。真的有可能吗?

    时间:2012-01-03

    由于一些安全问题,我想重命名我的wp admin文件夹。真的有可能吗?The less it looks/is built like default WP, the harder it is to attack known vulnerabilities. Being able to rename those directories can help stop an exploit dead in its tracks.Otto在中提到this thread 可以使用“admin\\u url”过滤器。真

  • 在新的服务器上,网站被黑客入侵,权限有点奇怪?请帮帮忙

    时间:2012-01-04

    我最近换了一台新服务器,一周后,一个网站遭到黑客攻击,他们所做的只是更改了索引。当前启用主题的php文件,没什么大不了的。我确实有一些安全预防措施,没有管理员用户名,所有最新版本,没有timthumb问题。htaccess安全等。我不希望这种情况再次发生,我注意到,当登录到我的WP管理员时,我可以编辑永久链接,或编辑器中的任何文件(我测试了编辑index.php),并将其保存。在我的前两台服务器上,我必须进入FTP,在进行任何更改之前,将文件的权限设置为755或777,然后再将其设置回644。它们当前设置

  • 使用定制的Query_var会造成安全漏洞吗?

    时间:2012-01-06

    假设我在函数中放入以下代码。phpfunction add_my_query_vars($qvars) { $qvars[] = \"new_var\"; return $qvars; } add_filter(\'query_vars\', \'add_my_query_vars\'); 如果有人要求my.site.com/?new_var=[MALICIOUS CODE], 它们会造成任何损坏吗?如果没有,为什么没有?Edit for cla

  • 如何防止插件嗅探/窃取其他插件的选项?

    时间:2012-01-11

    许多插件需要配置敏感数据,如API密钥、密码等。在实现这些插件时,这些敏感数据使用以下函数存储update_option() 和get_option().编写一个特洛伊木马插件,它提供了一个有用的功能,但也执行了多种get_option() 调用已知敏感选项。即使这是不可能的,手动SQL查询也可以显示这些敏感数据。有没有办法避免这种固有的不安全模型?

  • 如何在WordPress和自动登录之外创建一个WP用户?

    时间:2012-01-13

    我在一个非WP站点上构建了一个成员目录(使用php和mysql)。每个成员都可以使用用户名和密码登录并更新其详细信息。我想能够得到这个自动创建一个用户在Wordpress网站上使用从成员目录的详细信息。理想情况下,如果他们在成员目录中更新其详细信息,则WP站点上的用户详细信息将更新。我不确定这在密码方面是如何工作的。WP和成员站点目录都位于同一服务器上,因此可以访问每个数据库。我还可以在成员目录上建立一个链接,将他们带到WP站点,并自动登录。我不确定最后一点,特别是出于安全考虑,但我只想避免他们重新输入用

  • Wordpress对于多用户文章目录是否足够安全?

    时间:2012-01-18

    我的一个朋友将推出一个小文章目录(例如:http://ezinearticles.com/) 使用WP。该网站将在开始时托管在共享主机上,并将在将来移动到专用服务器。该网站将像任何其他文章目录一样开放供公众注册,每个注册用户都可以使用WP admin管理他们的帖子。用户角色将设置为Author 对于所有注册用户。问题是WP is secure enough 对于这样的文章目录设置,以及注册用户是否可以入侵/破坏网站稳定,即使所有WP安全加固都已完成。简而言之the main concern is with

  • 扩展了3.3中内置上载程序支持的MIME类型列表

    时间:2012-01-25

    目标我希望能够扩展wp 3.3.1中内置上传程序支持的mime类型列表例如,当我尝试上载时。apk文件到我们的班级博客,我得到Sorry, this file type is not permitted for security reasons. 错误3.3中的问题:管理文件类型白名单的方式是否有任何更改,导致我无法解决此问题?已尝试激活wp codex并转到网络管理设置页面,添加到上载文件类型。这行不通,没有变化。我还尝试了“upload\\u mimes”方法,将代码添加到函数中。php。这行不通,没

  • 如何安全地实施无密码登录功能?

    时间:2012-01-29

    刚刚发布了一个新插件:No More Passwords我目前将其标记为beta版,因为登录平台是一个敏感问题,我不想发布可能存在安全漏洞的内容。我的问题是:是否安全?为了确保安全,我做了以下工作:用户名/密码永远不会来回传递,只有uniquehash</哈希一旦被使用,就会从数据库中删除,除非数据库被黑客攻击,否则不能使用未被使用的旧哈希,但这样会有更大的问题</已转义哈希的所有数据库查询,以防止XSATTACK</立即添加到ajax调用</为防止CSRF攻击,在移动端上添加了n

  • 如何保护WordPress XMLRPC的安全?

    时间:2012-01-31

    XMLRPC非常适合远程发布到WordPress,但也存在许多安全问题。如何使其更安全?更具体地说,只有来自intranet的用户才能通过XMLRPC进行发布。WP目前正在Lighttpd和php5上运行。3.