Questions tagged «security»

我有一个网站，对于我们正在使用WordPress的事实，我们会尽量保持谨慎。我们可以采取哪些步骤使其不那么明显？ 编辑-重要安全说明： 请理解，按照Mark的回答，完美地做到这一点是不可能的，因此请勿将其作为安全措施。

142 security  customization 

如今，最常见的安全性最佳实践之一似乎是将wp-config.php目录移到高于vhost文档根目录的位置。我从来没有真正找到过一个好的解释，但是我假设这是为了最大程度地减少读取数据库密码在webroot中恶意或感染脚本的风险。 但是，您仍然必须让WordPress访问它，因此您需要扩展open_basedir以包括文档根目录上方的目录。这不仅破坏了整个目的，而且还可能将服务器日志，备份等暴露给攻击者？ 还是该技术只是试图防止出现这样的情况，即在这种情况下wp-config.php任何请求的人都将其显示为纯文本http://example.com/wp-config.php，而不是被PHP引擎解析？这似乎是非常罕见的情况，并且不会超过将日志/备份/等暴露给HTTP请求的不利影响。 也许可以在某些托管设置中将其移到文档根目录之外，而无需暴露其他文件，但在其他设置中则不能？ 结论： 在这个问题上经过反复的反复讨论之后，出现了两个答案，我认为应该将其视为权威的答案。亚伦·亚当斯（Aaron Adams）很好地支持移动 wp-config，而克里斯吉塔吉（Chrisguitarguy）很好地反对了。如果您不是该线程的新手，并且不想阅读整个内容，那么这是您应该阅读的两个答案。其他答案要么是多余的，要么是不正确的。

135 security  customization  wp-config 

我在http://fakeplasticrock.com上的好玩的WordPress博客（运行WordPress 3.1.1）被黑了- <iframe>在每个页面上都显示了这样的内容： <iframe src="http://evilsite.com/go/1"></iframe> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> 我做了以下 通过内置的WordPress升级系统升级到3.1.3 安装了漏洞利用扫描程序（对非正常文件有很多严重警告）和防病毒软件（显示为绿色，干净，因此我在运行后将其卸载并删除了） 更改了MySQL密码。 更改了所有WordPress用户密码。 通过FTP连接并下载了整个文件系统（不大，这是仅WordPress的Linux共享主机） 将文件系统与WordPress 3.1.3的官方ZIP文件区别开来，并删除或覆盖了所有不匹配的内容。 我很确定 磁盘上的所有文件均为官方WordPress 3.1.3文件 除了我的磁盘/theme，Exploit Scanner插件（我刚刚下载），/uploads文件夹和少量其他预期文件之外，磁盘上没有“多余” 文件。我的其他插件wp-recaptcha与当前的官方下载版本匹配。 我还检查了.htaccess文件，那里没有任何问题 我没有接触数据库，但是我在努力思考如果没有特殊的PHP代码就能使数据库中的任何内容变得恶意？ 我的WordPress博客现在可以正常运行并且没有受到黑客攻击（我认为），但是还有什么我需要检查的吗？

105 security  hacked 

我将wordpress用于用户上传文件的私人站点。如果用户未登录，我将使用“ Private WordPress”阻止访问该网站。 我想对uploads文件夹中上传的文件执行相同的操作。 因此，如果未登录的用户将无法访问：https : //xxxxxxx.com/wp-content/uploads/2011/12/xxxxxxx.pdf 如果他们尝试访问但未登录，则应该例如重定向到登录页面。 我找到了一个名为“私人文件”的插件，但是上次更新是在2009年，它似乎在我的wordpress上不起作用。 有人知道什么方法吗？热链接方法足以保护这一点吗？ 我也发现了这种方法： # BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteCond %{REQUEST_URI} ^.*uploads/private/.* RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in.*$ [NC] RewriteRule . /index.php [R,L] RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> # END WordPress 但是，任何复制cookie的用户都可以通过此权限吗？问候

79 media  security  media-library  uploads 

是否可以重命名wp-admin文件夹？ 我知道我可以重命名它，但是除非得到代码的支持，否则很多事情都会中断。 如果我使用自定义文件夹名称，它将使其更加安全，默默无闻的安全性等等。

69 wp-admin  security 

编写WordPress插件时，通常需要设置选项，以便网站上的角色可以访问某些功能或内容。为此，插件开发人员需要获取该站点上存在的角色列表，以在该选项中使用。因为可以创建自定义角色，所以我们不能假设默认角色是唯一可用的角色。 提取列表的最佳方法是什么？

38 security  users  capabilities  user-roles 

我最近遇到一个问题，因为我没有“手动安装”或“一键安装”选项，所以无法安装WP Smush Pro插件。 我碰到了这篇文章，建议调整中的设置wp-config.php。我添加了建议的设置，但是似乎最重要的设置是： define('FS_METHOD', 'direct'); 我想知道什么是真正的问题应我身边有设置FS_METHOD到direct？安装插件还有其他选择吗？ 这是官方文档必须说的： FS_METHOD强制使用文件系统方法。它只能是“ direct”，“ ssh2”，“ ftpext”或“ ftpsockets”。通常，只有在遇到更新问题时才应更改此设置。如果您更改了它但无济于事，请将其更改回/删除。在大多数情况下，如果自动选择的方法无效，则将其设置为“ ftpsockets”即可。 （主要首选项）“直接”强制它使用PHP内部的直接文件I / O请求，这会给配置不良的主机带来安全性问题，这在适当时会自动选择。

36 plugins  security  wp-config  ftp 

我可以防止在我的wordpress网站上枚举用户名吗？我现在可以使用WPScan工具看到用户。

33 security 

我不时遇到以下主题片段： if ( ! defined('ABSPATH')) exit('restricted access'); 它只是主题中某些（全部？）PHP文件的开头，它应防止恶意来源直接访问该文件。 我发现二十一或十一未包含此功能，而且我从未见过在官方WordPress文档中推荐使用此功能。对我来说，这似乎是个好主意，但我对安全性的了解还不足以判断它，因此在Google方面找不到很多东西。 我的自定义主题中应该有这东西吗？如果是这样，应该在所有PHP文件中还是仅在其中一些文件中？

31 theme-development  security 

我将WordPress升级到4.7.1，然后尝试通过REST API枚举用户，该API应该是固定的，但我能够检索用户。 https://mywebsite.com/wp-json/wp/v2/users 输出： [{"id":1,"name":"admin","url":"","description":"","link":"https:\/\/mywebsite\/author\/admin\/","slug":"admin","avatar_urls":{"24": ... 最新版本的变更日志： REST API公开了所有创作了公共帖子类型帖子的用户的用户数据。WordPress 4.7.1将此限制为仅发布已指定应在REST API中显示的类型。由Krogsgard和Chris Jean报道。 安装plugin之后Disable REST API，似乎一切正常，但是我不喜欢将其用于所有小东西。 使用插件后的输出为： {"code":"rest_cannot_access","message":"Only authenticated users can access the REST API.","data":{"status":401}} 如何在不使用插件的情况下解决此问题，或者为什么甚至在升级此Stil后仍然存在？ 编辑30.9.2017 我意识到contact 7插件与之间有冲突Disable REST API，这会给您带来401 unauthorized错误。 当您尝试通过contact 7表单发送消息时，它将发出一个请求 wp-json/contact-form-7/v1/contact-forms/258/feedback 禁用它不是一个好主意。

28 security  rest-api 

在一定时间后，WP将注销所有用户，并强制他们重新登录。对于本地计算机上的开发环境，这是令人讨厌的，而且绝对没有必要。 是否有API驱动的方式来无限期禁用自动注销？理想情况下，我希望可以将其wp-config.php与其他与开发设置相关的设置一起添加。 插件对我来说太过分了，所以我不会认为这是一个答案，但是您最好将其发布为一个选项。

28 security  wp-admin  login 

任何更改wp-login.php网址的方法？似乎从未使用过Wordpress的每个人都可以很容易地看到您的网站是否正在使用它，并直接进入登录页面。 曾经有一个名为“隐身登录”的插件，但尚未更新。（因此我们不愿依赖插件）。

26 login  security 

不需要时，从WordPress中删除xmlrpc.php文件的最佳方法是什么？

25 security  content  xml-rpc  customization 

按照目前的情况，这个问题不适合我们的问答形式。我们希望答案会得到事实，参考或专业知识的支持，但是这个问题可能会引起辩论，争论，民意调查或扩展讨论。如果您认为此问题可以解决并且可以重新提出，请访问帮助中心以获取指导。 7年前关闭。 正如该问题中所建议的那样，我将该主题添加为一个新问题，以供社区讨论/投票有关插件/主题安全的最佳实践。 这是一个初始检查表，基于我当前用于审阅主题的（正在进行的）设置/数据安全检查表（插件的原理应与主题相同）。 如果要使用安全且经过严格编码的主题设置页面检出主题，请检出此主题：http : //wordpress.org/extend/themes/coraline

22 plugins  themes  security 

有什么区别，我应该使用哪一个？ 我知道wp_verify_nonce会检查时间限制，而我认为check_admin_referer会调用wp_verify_nonce并检查管理url段，但是我对应该使用哪个以及何时使用感到有些困惑。 感谢您的澄清。

21 admin  security  nonce