您当前的位置:首页 > TAG信息列表 > security
是否有任何预先存在的插件来跟踪和阻止在我的网站上有可疑活动的IP?
下图显示了最近一次(失败的)尝试破解我的Wordpress安装。我很容易看到这一点,并了解他们在做什么,但是否有一个插件可以监控这些数据并捕获这样的事件?特别是对于这样明目张胆的事情,我想阻止IP,但对我来说,全天候坐着看IP活动并不太现实。有什么想法?
Generate Wordpress salt
我需要一个函数,自动生成和返回盐的Wordpress wp配置。php(不要将我链接到他们的API,我正在寻找脱机解决方案)。Wordpress core是否在某处定义了此功能?如果没有,这些盐是否可以随机生成,或者是否有创建它们的特定规则?编辑:This is what I ended up with: $keys = array(\'AUTH_KEY\', \'SECURE_AUTH_KEY\', \'LOGGED_IN_KEY\', \'NONCE_KEY\
用于验证输入类型的正确标签
我有以下类型的主题选项输入,需要进行验证。$numbers = \"#1234\"; $email = \"[email protected]\"; $simeple_text = \"How\'s going?\"; $code = \"<script type=\'text/javascript\'></script>\"; 我想知道以下哪种标签应该用于上述哪种类型?我试图阅读以下函数的wordpress文档,但找不到明确的答案。wp_filter
使用主题编辑器上传脚本而损坏的网站
我们已经有几个Wordpress网站被破坏了,所有这些网站都有相同的模式(至少原始的访问日志是这样说的)。从日志中可以看出,他们直接登录Wordpress,然后进入主题编辑器>编辑404。php文件带有恶意代码,他们现在运行该代码来破坏网站。这是日志(该站点替换为example.com)125.167.118.62 - - [01/Aug/2012:14:22:58 +0800] \"GET / HTTP/1.1\" 200 6318 \"-\" \"Mozilla/5.0 (Windows NT
如何在更新期间限制WordPress页面?
我将升级我的Wordpress网站的设计和内容。在此期间,我只希望主页可用。是否有一种好的方法来锁定它(通过插件等)。我很难从谷歌找到答案。谢谢Jason
如何在BuddyPress中隐藏管理员帐号?(出于安全原因)
我在WordPress工作了3-4年,但我对BuddyPress还是个新手。出于安全原因,我想对BuddyPress完全隐藏管理员帐户。例如,对于一个普通的WordPress博客,我会有两个独立的帐户(一个拥有隐藏的管理权限,另一个只有一个编辑角色来发布所有文章)。这样,管理员帐户将对公众隐藏,任何试图闯入的人都必须猜测密码和用户名。在BuddyPress中,这并不容易,因为管理员帐户非常公开。我设法做到的一件事是,通过编辑/bp主题/bp默认值/members/member\\u循环,将管理概要文件从m
如何控制哪些人可以在BuddyPress中查看某些页面?
我想控制谁可以在BuddyPress中查看页面,并限制其他任何人访问它。类似以下伪代码的内容:<?php if ( loggedin_user_ids==1,4,5,7 ) { ?> // Show page <?php } else { ?> // \"You are not allowed to view this page\" message <?php } ?> 所以基本上,我需要:能够control who can s
有没有可能导致wp_USERS表消失的已知错误?
我管理许多WordPress支持的网站。其中一个网站是新的,自一个月前成立以来一直保持原样。今天,我尝试登录,但无法做到-我所有的登录尝试都被拒绝。经过调查,我发现wp_users 缺少表。所有其他表格都存在,博客功能齐全。数据库中的任何条目或任何文件均未表明存在任何形式的黑客行为。我明天就要休假了,这让我有点担心,因为我是唯一负责这些网站的人。当然,我已经更改了所有密码,我可能会重新安装代码库,但我想知道是否有任何常见的bug可能导致这种情况?运行的WP版本为3.4.1。值得注意的安装插件包括WP Su
限制主题文件的直接访问值得吗?
我不时在主题中遇到以下片段:if ( ! defined(\'ABSPATH\')) exit(\'restricted access\'); 这是在一些(所有?)PHP文件在一个主题中,它应该防止恶意来源直接访问该文件。我发现这并没有包含在《2010年》或《2011年》中,而且我从未在官方WordPress文档中看到过推荐的内容。对我来说,这似乎是个好主意,但我对安全性的了解还不够,无法对其进行判断,也无法在谷歌上找到太多信息。这是我的自定义主题中应该包含的内容吗?如果是这样的话,它应该在所有
如果用户未登录,如何保护多站点中的上传?
我正在尝试建立一个多站点intranet(使用子域),其中每个子站点上的内容只有登录到各自站点的用户才能访问。我遇到的问题是试图限制对上载文件的访问(例如。http://example.org/wp-content/uploads/2011/12/dummy.pdf) 仅限于登录用户。类似How to Protect Uploads, if User is not Logged In?, 我将如何启用hakre或Frank Bueltge提出的多站点安装解决方案之一?我一直在搜索网络和Wordress的答
插件在哪些环境中负责数据验证/清理?
我想确保插件/主题中的所有数据在进入数据库和输出到浏览器之前都得到了安全处理。我的问题是,有些情况下,API会为您处理清理,比如在保存post meta字段时,还有一些情况下,插件/主题作者会全权负责,比如在保存自定义设置时。对于这个问题的范围,我不关心在域级别验证数据,例如,检查表单上的年龄字段是否在0到120之间,或者电子邮件地址是否有效。我只关心安全性——例如,在保存到数据库时,转义SQL查询以避免SQL注入,或者清理输出到HTML模板的数据以避免XSS。对于输出清理,我知道您始终需要使用以下函数e
如何使用WordPress函数正确验证来自$_GET或$_REQUEST的数据?
我正在开发一个插件,它需要对内容输出进行即时操作。这完全取决于电流$_GET 变量或$_REQUEST 变量根据变量的设置,它将调用某个类方法来处理用户的请求并显示适当的内容。我完全了解Data Validation 然而,我不确定我的方案或任何消毒方案的最佳方法是什么$_GET 变量或$_REQUEST 这方面的变量。如何使用WordPress函数清理$_GET 变量或$_REQUEST 将匹配以调用特定类方法的字符串的变量?Could this be exploited or fail given t
保护管理员帐户-用户名发现
我们已经Limit Login Attempts 已经安装了几周了,在wp admin/wp登录上发生的暴力尝试次数非常惊人。起初,这些尝试都是用用户名“Admin”进行的,我们的网站上不存在这个用户名,所以我认为这很烦人,但不是什么威胁。然而,现在我们看到其他命名的管理员用户帐户发生了锁定,我完全无法理解攻击者是如何推断这些帐户的用户名的。我们网站上没有任何内容是由任何人编写的,我在网站上找不到其他公开发布这些用户名的位置。你知道如何发现用户名吗?
WordPress自定义管理功能安全性
在我的管理面板中有一个案例,我需要调用驻留在自己php文件中的函数,并发出GET请求。此函数实际上是从数据库中删除条目。因此,我想确保这不能从管理员用户以外的任何人调用。最好的方法是什么?请注意我的示例。php?文件名=…\'脚本将直接执行,并应在“管理”面板上刷新页面后返回。我如何正确地确保这一点?在Wordpress默认安全措施的控制下,有没有更好的方法来做到这一点?如果能够在php代码的上下文中执行get\\u选项,那也太好了。
在WPMU中设置MySQL用户的最安全方式是什么?
我正在基于我的域设置子域。所有内容都由我在一个CentOS/Webmin VPS上运行。将MySQL用户的域设置为localhost、127.0.0.1或使用通配符%会更好吗。mydomain。com?哪个更安全?localhost===127.0.0.1吗?如果没有,有什么区别?另外,当我通过ssh终端连接时,MySQL或Wordpress的pov中的我的域是什么?当我通过Webmin或Usermin连接时如何?我知道这与WordPress没有直接关系,但我的Usermin用户将是需要超级用户权限的超级
将您不希望用户修改的用户设置存储为用户选项是否安全?
我在我的网站上的个人资料页面中添加了一些自定义用户选项,大多数都可以由用户自行修改。这些选项位于各自的分区中。用户具有读取权限,可以访问后端并更改其配置文件中的某些设置。还有另一个每个用户选项,我不希望用户能够直接修改。我有创建选项组和部分的代码,检查用户是否可以编辑其他用户的配置文件。如果不能,则该节和设置不会在WordPress中注册(因此不会显示在配置文件页面上)。只有具有适当权限的人才能通过后端访问编辑配置文件页面、查看和更改设置。恶意用户是否可以提交其他具有其他有效配置文件更新的帖子数据,并设置
How 'secure' are loops?
我使用循环作为在前端显示个人元和客户信息的手段。例如,我有一个页面,其中显示要编辑的用户“配置文件”信息。他们的配置文件是在注册时创建的自定义帖子类型。编辑屏幕的循环根据当前用户id查找一个cpt,填充表单字段,提交后更新帖子。这安全吗?如果不是,有什么更好的方法来处理这种类型的行为?*--编辑以包含示例代码这是一个循环示例。这是从供应商销售的商品中提货。GF挂钩使用产品中的元数据预先填充中间的表单,提交后更新帖子。<?php $q = new WP_Query( array( \'auth
关闭后端的最好方法是什么?
The goal: 完全删除在生产域上访问WordPress后端的功能。例如,返回404http://example.com/wp-adminPurpose: 我不想通过互联网访问WordPress的后端。相反,它只能通过内部域上的VPN访问(即。http://example.internal/wp-admin. <这确保了没有人可以对登录页面进行暴力攻击我可以限制登录到给定的IP地址,但我不想保持IP列表。我更愿意使用我的VPN已经提供的安全性。考虑一下wp-admin 仍然必须以某种方式访问,因
COMMENT_POST_ID 0(无法从仪表板中删除)
遇到了一些我以前没见过的奇怪的东西。客户有一个相当活跃的博客,并使用Akismet(付费)来防止垃圾邮件。他们每天至少报告一次正确标记为垃圾邮件的垃圾邮件评论,但无法通过单击从管理仪表板中删除Empty Spam 或者手动选择条目并尝试删除它。我对此进行了研究,发现DB条目有一个comment_post_ID 属于0, 我不得不假设这意味着它不附在任何帖子上。很明显,我可以从DB中删除他们的手册(它工作得很好),但没有找到关于这可能是什么的任何信息。我已经替换了核心WP文件(认为这可能是一个安全问题),还
动态重命名wp-Content文件夹
是否可以动态重命名wp content文件夹?我正在构建一个用于主题的自定义框架,如果能将其设置为独立完成所有工作,那将是一件好事。我现在正在wp配置中使用以下代码define (\'WP_CONTENT_DIR\',\'/name_of_new_folder\'); define(\'WP_CONTENT_URL\',\'http://example.com/name_of_new_folder\'); 我可以用PHP动态地打开站点域吗?