如何解决安全审计中的这些发现

时间:2018-10-12 作者:Rajneesh Rana

我在一个公司项目中工作,他们正在由顾问进行安全审计,他们发现了以下有关Wordpress的问题。我设法在中使用标头解决了许多问题。htaccess,但有些似乎是wordpress核心的一部分,不确定如何继续。

尝试使用安全方法防止会话劫持攻击。每次用户登录和注销时,会话Id都应该更改/刷新

是否有任何方法可以在不更改核心文件的情况下修复这些问题?是否有任何文档可以在高安全性环境中使用wordpress强化这些问题?

1 个回复
SO网友:Jacob Peattie

尝试使用安全方法防止会话劫持攻击。每次用户登录和注销时,会话Id都应该更改/刷新。

WordPress不使用PHP会话,也没有静态会话ID。您必须使用这样的插件或主题。

登录凭据应在代码级别加密。

WordPress的登录凭据已加密。如果您使用的是某种自定义系统,那么它的作者需要解决这个问题。

当在用户端进行url操作时,它应该自动重新定向到应用程序开发的错误页面。

WordPress确实重定向到标准404页面。

升级到jquery的最新版本(3.3.1)(WP使用1.12.4,它是安全的,但是否可以在不破坏依赖jquery的管理和其他功能的情况下进行升级?)

它可能会打碎东西。不要试图替换WordPress的jquery。

老实说,前三个问题听起来像是由您开发或包含的第三方代码引起的问题(与WordPress一起,或在主题/插件中),而不是WordPress本身的问题。

结束
标签: plugins   jquery   login   security   cookies   小码农  

相关推荐

使用JQuery搜索自定义帖子内容

我正在为CPT调整网站的存档页面,以使用砌体布局,并在存档页面中添加实时搜索。我有一个正在运行的设置。然而,我刚刚意识到,我的脚本只会搜索归档页面上显示的内容,而不会搜索整个帖子的内容。请参阅下面的脚本:$(document).ready(function () { $(\"#live-search\").on(\"keyup\", function(){ var value = $(this).val().toLowerCase(); $(