Questions tagged «security»

加强主题,插件和核心安装以防止入侵。

13
隐藏网站使用WordPress的事实的步骤?
我有一个网站,对于我们正在使用WordPress的事实,我们会尽量保持谨慎。我们可以采取哪些步骤使其不那么明显? 编辑-重要安全说明: 请理解,按照Mark的回答,完美地做到这一点是不可能的,因此请勿将其作为安全措施。

8
将wp-config移到Web根之外真的有好处吗?
如今,最常见的安全性最佳实践之一似乎是将wp-config.php目录移到高于vhost文档根目录的位置。我从来没有真正找到过一个好的解释,但是我假设这是为了最大程度地减少读取数据库密码在webroot中恶意或感染脚本的风险。 但是,您仍然必须让WordPress访问它,因此您需要扩展open_basedir以包括文档根目录上方的目录。这不仅破坏了整个目的,而且还可能将服务器日志,备份等暴露给攻击者? 还是该技术只是试图防止出现这样的情况,即在这种情况下wp-config.php任何请求的人都将其显示为纯文本http://example.com/wp-config.php,而不是被PHP引擎解析?这似乎是非常罕见的情况,并且不会超过将日志/备份/等暴露给HTTP请求的不利影响。 也许可以在某些托管设置中将其移到文档根目录之外,而无需暴露其他文件,但在其他设置中则不能? 结论: 在这个问题上经过反复的反复讨论之后,出现了两个答案,我认为应该将其视为权威的答案。亚伦·亚当斯(Aaron Adams)很好地支持移动 wp-config,而克里斯吉塔吉(Chrisguitarguy)很好地反对了。如果您不是该线程的新手,并且不想阅读整个内容,那么这是您应该阅读的两个答案。其他答案要么是多余的,要么是不正确的。

12
验证我已经完全删除了WordPress hack?
我在http://fakeplasticrock.com上的好玩的WordPress博客(运行WordPress 3.1.1)被黑了- <iframe>在每个页面上都显示了这样的内容: <iframe src="http://evilsite.com/go/1"></iframe> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> 我做了以下 通过内置的WordPress升级系统升级到3.1.3 安装了漏洞利用扫描程序(对非正常文件有很多严重警告)和防病毒软件(显示为绿色,干净,因此我在运行后将其卸载并删除了) 更改了MySQL密码。 更改了所有WordPress用户密码。 通过FTP连接并下载了整个文件系统(不大,这是仅WordPress的Linux共享主机) 将文件系统与WordPress 3.1.3的官方ZIP文件区别开来,并删除或覆盖了所有不匹配的内容。 我很确定 磁盘上的所有文件均为官方WordPress 3.1.3文件 除了我的磁盘/theme,Exploit Scanner插件(我刚刚下载),/uploads文件夹和少量其他预期文件之外,磁盘上没有“多余” 文件。我的其他插件wp-recaptcha与当前的官方下载版本匹配。 我还检查了.htaccess文件,那里没有任何问题 我没有接触数据库,但是我在努力思考如果没有特殊的PHP代码就能使数据库中的任何内容变得恶意? 我的WordPress博客现在可以正常运行并且没有受到黑客攻击(我认为),但是还有什么我需要检查的吗?
105 security  hacked 

3
如果用户未登录,如何保护上传?
我将wordpress用于用户上传文件的私人站点。如果用户未登录,我将使用“ Private WordPress”阻止访问该网站。 我想对uploads文件夹中上传的文件执行相同的操作。 因此,如果未登录的用户将无法访问:https : //xxxxxxx.com/wp-content/uploads/2011/12/xxxxxxx.pdf 如果他们尝试访问但未登录,则应该例如重定向到登录页面。 我找到了一个名为“私人文件”的插件,但是上次更新是在2009年,它似乎在我的wordpress上不起作用。 有人知道什么方法吗?热链接方法足以保护这一点吗? 我也发现了这种方法: # BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteCond %{REQUEST_URI} ^.*uploads/private/.* RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in.*$ [NC] RewriteRule . /index.php [R,L] RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> # END WordPress 但是,任何复制cookie的用户都可以通过此权限吗?问候

11
我可以重命名wp-admin文件夹吗?
是否可以重命名wp-admin文件夹? 我知道我可以重命名它,但是除非得到代码的支持,否则很多事情都会中断。 如果我使用自定义文件夹名称,它将使其更加安全,默默无闻的安全性等等。

5
获取WordPress网站上当前可用角色的列表?
编写WordPress插件时,通常需要设置选项,以便网站上的角色可以访问某些功能或内容。为此,插件开发人员需要获取该站点上存在的角色列表,以在该选项中使用。因为可以创建自定义角色,所以我们不能假设默认角色是唯一可用的角色。 提取列表的最佳方法是什么?

3
在wp-config中将FS_METHOD设置为“ direct”时应该有什么安全方面的考虑?
我最近遇到一个问题,因为我没有“手动安装”或“一键安装”选项,所以无法安装WP Smush Pro插件。 我碰到了这篇文章,建议调整中的设置wp-config.php。我添加了建议的设置,但是似乎最重要的设置是: define('FS_METHOD', 'direct'); 我想知道什么是真正的问题应我身边有设置FS_METHOD到direct?安装插件还有其他选择吗? 这是官方文档必须说的: FS_METHOD强制使用文件系统方法。它只能是“ direct”,“ ssh2”,“ ftpext”或“ ftpsockets”。通常,只有在遇到更新问题时才应更改此设置。如果您更改了它但无济于事,请将其更改回/删除。在大多数情况下,如果自动选择的方法无效,则将其设置为“ ftpsockets”即可。 (主要首选项)“直接”强制它使用PHP内部的直接文件I / O请求,这会给配置不良的主机带来安全性问题,这在适当时会自动选择。


1
值得限制主题文件的直接访问吗?
我不时遇到以下主题片段: if ( ! defined('ABSPATH')) exit('restricted access'); 它只是主题中某些(全部?)PHP文件的开头,它应防止恶意来源直接访问该文件。 我发现二十一或十一未包含此功能,而且我从未见过在官方WordPress文档中推荐使用此功能。对我来说,这似乎是个好主意,但我对安全性的了解还不足以判断它,因此在Google方面找不到很多东西。 我的自定义主题中应该有这东西吗?如果是这样,应该在所有PHP文件中还是仅在其中一些文件中?

4
WordPress 4.7.1 REST API仍然向用户公开
我将WordPress升级到4.7.1,然后尝试通过REST API枚举用户,该API应该是固定的,但我能够检索用户。 https://mywebsite.com/wp-json/wp/v2/users 输出: [{"id":1,"name":"admin","url":"","description":"","link":"https:\/\/mywebsite\/author\/admin\/","slug":"admin","avatar_urls":{"24": ... 最新版本的变更日志: REST API公开了所有创作了公共帖子类型帖子的用户的用户数据。WordPress 4.7.1将此限制为仅发布已指定应在REST API中显示的类型。由Krogsgard和Chris Jean报道。 安装plugin之后Disable REST API,似乎一切正常,但是我不喜欢将其用于所有小东西。 使用插件后的输出为: {"code":"rest_cannot_access","message":"Only authenticated users can access the REST API.","data":{"status":401}} 如何在不使用插件的情况下解决此问题,或者为什么甚至在升级此Stil后仍然存在? 编辑30.9.2017 我意识到contact 7插件与之间有冲突Disable REST API,这会给您带来401 unauthorized错误。 当您尝试通过contact 7表单发送消息时,它将发出一个请求 wp-json/contact-form-7/v1/contact-forms/258/feedback 禁用它不是一个好主意。

3
阻止WP退出我的最简单方法是什么
在一定时间后,WP将注销所有用户,并强制他们重新登录。对于本地计算机上的开发环境,这是令人讨厌的,而且绝对没有必要。 是否有API驱动的方式来无限期禁用自动注销?理想情况下,我希望可以将其wp-config.php与其他与开发设置相关的设置一起添加。 插件对我来说太过分了,所以我不会认为这是一个答案,但是您最好将其发布为一个选项。

4
有什么办法可以重命名或隐藏wp-login.php吗?
任何更改wp-login.php网址的方法?似乎从未使用过Wordpress的每个人都可以很容易地看到您的网站是否正在使用它,并直接进入登录页面。 曾经有一个名为“隐身登录”的插件,但尚未更新。(因此我们不愿依赖插件)。
26 login  security 


13
WordPress插件和主题的最佳安全性最佳做法是什么?[关闭]
按照目前的情况,这个问题不适合我们的问答形式。我们希望答案会得到事实,参考或专业知识的支持,但是这个问题可能会引起辩论,争论,民意调查或扩展讨论。如果您认为此问题可以解决并且可以重新提出,请访问帮助中心以获取指导。 7年前关闭。 正如该问题中所建议的那样,我将该主题添加为一个新问题,以供社区讨论/投票有关插件/主题安全的最佳实践。 这是一个初始检查表,基于我当前用于审阅主题的(正在进行的)设置/数据安全检查表(插件的原理应与主题相同)。 如果要使用安全且经过严格编码的主题设置页面检出主题,请检出此主题:http : //wordpress.org/extend/themes/coraline

2
wp_verify_nonce与check_admin_referer
有什么区别,我应该使用哪一个? 我知道wp_verify_nonce会检查时间限制,而我认为check_admin_referer会调用wp_verify_nonce并检查管理url段,但是我对应该使用哪个以及何时使用感到有些困惑。 感谢您的澄清。
21 admin  security  nonce 

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.