Вопросы с тегом «security»

Укрепление тем, плагинов и основной установки для предотвращения вторжений.

142
Какие шаги предпринять, чтобы скрыть тот факт, что сайт использует WordPress?

У меня есть веб-сайт, для которого мы стараемся быть осторожными в том, что мы используем WordPress. Какие шаги мы можем предпринять, чтобы сделать его менее очевидным? РЕДАКТИРОВАТЬ - Важное примечание безопасности: Пожалуйста, поймите, что сделать это совершенно невозможно в соответствии с...

135
Выгодно ли переносить wp-config за пределы веб-корня?

Похоже, что одним из наиболее распространенных методов обеспечения безопасности в наши дни является перемещение на wp-config.phpодин каталог выше, чем корень документа vhost . Я никогда не нашел хорошего объяснения этому, но я предполагаю, что это сводит к минимуму риск того, что вредоносный или...

80
Как защитить загрузки, если пользователь не вошел в систему?

Я использую WordPress для частного сайта, где пользователи загружают файлы. Я использую «Private WordPress», чтобы запретить доступ на сайт, если пользователь не вошел в систему. Я хотел бы сделать то же самое с файлами, загруженными в папку загрузки. Поэтому, если пользователь не вошел в систему,...

70
Можно ли переименовать папку wp-admin?

Можно ли переименовать папку wp-admin? Я знаю, что могу просто переименовать его, но если это не поддерживается кодом, многое может сломаться. Если я использую произвольное имя папки, это сделает его немного более безопасным, безопасность от неясности и все...

38
Получение списка доступных на данный момент ролей на сайте WordPress?

При написании плагинов WordPress часто возникает необходимость настроить параметры, для которых роли на сайте имеют доступ к определенным функциям или контенту. Для этого плагину dev необходимо получить список ролей, существующих на сайте, для использования в опции. Поскольку пользовательские роли...

36
Какие проблемы безопасности я должен иметь при установке FS_METHOD на «direct» в wp-config?

У меня недавно была проблема, когда я не смог установить плагин WP Smush Pro, потому что у меня нет доступных вариантов ручной установки или установки одним щелчком. Я наткнулся на этот пост, в котором предлагалось настроить параметры wp-config.php. Я добавил предложенные настройки, однако наиболее...

31
Стоит ли ограничивать прямой доступ к файлам тем?

Время от времени я сталкивался со следующим фрагментом в темах: if ( ! defined('ABSPATH')) exit('restricted access'); Это начало некоторых (всех?) PHP-файлов в теме, и оно должно предотвратить прямой доступ к файлу из-за гнусных источников. Я вижу, что это не входит в Twenty Ten или Eleven, и я...

28
Какой самый простой способ остановить WP от выхода из системы?

Через некоторое время WP выходит из системы всех пользователей и заставляет их снова войти в систему. Для сред разработки на моей локальной машине это неприятно и абсолютно не нужно. Существует ли управляемый API способ отключения автоматического выхода из системы на неопределенный срок? В идеале я...

26
Есть ли способ переименовать или скрыть wp-login.php?

Любой способ изменить URL-адрес wp-login.php? Кажется небезопасным, что каждый, кто когда-либо использовал Wordpress, мог легко увидеть, использует ли он ваш сайт, и получить доступ к странице входа Раньше был плагин под названием «Stealth login», но он не обновлялся. (И, следовательно, наше...

22
Каковы рекомендации по безопасности для плагинов и тем WordPress? [закрыто]

В настоящее время этот вопрос не очень подходит для нашего формата вопросов и ответов. Мы ожидаем, что ответы будут подтверждены фактами, ссылками или опытом, но этот вопрос, скорее всего, вызовет дебаты, споры, опрос или расширенное обсуждение. Если вы считаете, что этот вопрос можно улучшить и,...

21
wp_verify_nonce vs check_admin_referer

Какая разница, какую мне использовать? Я знаю, что wp_verify_nonce проверяет ограничение по времени, и check_admin_referer, я думаю, вызывает wp_verify_nonce, а также проверяет сегмент URL-адреса администратора, но я немного запутался, какой из них использовать и когда. Спасибо за ясность....

20
Увеличение числа неудачных попыток входа в систему, атаки методом перебора? [закрыто]

Закрыто. Этот вопрос не по теме . В настоящее время не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он подходил для WordPress Development Stack Exchange. Закрыто 4 года назад . Я установил плагин Simple Login Lockdown и пару дней назад база данных записывала более 200...

19
Если хакер изменил blog_charset на UTF-7, это делает WordPress уязвимым для дальнейших атак?

У меня был клиент, которого недавно взломали, и я заметил, что на ее сайте появляются странные персонажи, такие как Â и Æ. Оказывается, хакеры изменили blog_charset на UTF-7 в wp_optionsтаблице в базе данных. Я установил его обратно в UTF-8, но мне было интересно, может ли это привести к появлению...

19
Как сохранить имя пользователя и пароль для API в базе данных Wordpress?

В настоящее время я разрабатываю плагин, и есть вероятность, что я, скорее всего, опубликую его в общедоступном хранилище плагинов, чтобы другие могли его использовать. Плагин будет использовать API, и для использования этого API вам необходимо передать имя пользователя и пароль. Так что мой плагин...

19
Плагины Wordpress необходимы?

Я новичок в WordPress. Недавно я прочитал статью о том, как хакеры могут использовать уязвимости в плагинах. Различные источники, такие как Google Pagespeed, также отговаривали меня от использования плагинов или, по крайней мере, сводили его к минимуму. Лично я также стараюсь избегать плагинов,...

17
В каких контекстах плагины отвечают за проверку данных / санитарную обработку?

Я хочу убедиться, что все данные в моих плагинах / темах надежно обрабатываются перед входом в базу данных и перед выводом в браузер. Моя проблема в том, что есть ситуации, когда API обрабатывает санацию для вас - например, при сохранении мета-полей поста - и другие, где автор плагина / темы несет...