Questions tagged «security»

我试图保护我的wordpress博客。我在网络上阅读了一些帖子，应该改变我的table_prefix身份并且隐藏我的身份wp-config.php。但是，我不明白吗？攻击者可以对我做wp-config.php什么？ 我的意思是我的数据库配置，但是攻击者需要我DB_HOST举例来说，这是不那么容易得到的，为了连接到我的分贝（在我的情况下，其？define('DB_HOST', 'localhost');，其中，攻击者无法使用连接到我的分贝） 还是我想念某物？ 非常感谢您的回复！

11 plugins  security  wp-config 

初始情况 对于要设置的网站，我正在研究确保上传/下载安全并根据用户角色/功能限制对它们的访问的整个领域。当然，我已经阅读了一些与（通用）主题相关的先前问题，出于参考的原因，我发现了最重要/最有趣的问题： 如果用户未登录，如何保护上传内容？ 如何限制对上传文件的访问？ 限制对特定文件夹中文件的访问 如何使媒体上传私密？ 将PHP下载脚本合并到`functions.php`中 补充说明 通常，额外提高Wordpress安装的安全性（例如保护您的安全）并不是一个坏主意，wp-config.php您可以做很多事情，应该做很多事情。那里有大量的信息如何做到这一点。我是在这个问题的背景下，最关心我的上传/下载。 Wordpress上传不受保护，每个人都可以浏览该uploads文件夹，除非您使用以下命令阻止它.htaccess： Options All -Indexes 该.htaccess文件必须放置在uploads文件夹内。但这并不能真正保护它们，只是使查找文件变得更加困难。另外，您可以防止hotlinking，本质上限制访问基于referrer-尽管我认为我提到的情况有些不同，但我不再赘述，您可以找到很多有关此的信息。 当然，可以将帖子设为私有，也可以使用合适的模板文件创建自定义帖子类型，以将该帖子类型设为私有，但这不能保护您的文件。对于将文件包装在类似is_user_logged_in()或的条件中可以说是相同的is_admin()。 在旁注中，有很多插件可以保证您的文件安全和受保护，但是其中许多插件只是假装这样做，其中一些原因已在上面。我只是想点出来，因为我很确定每个人都不知道它-因此，请注意这一点。 目的 我的意图是能够限制对（某些）上传和下载的访问。为确保不需要的任何人都可以访问它们，不是偶然的，或者是有人知道文件名，这些文件应该真正是私有且安全的。毕竟，只有某些人可以无例外地访问。 另外，我不需要将整个网站私有化，的确会适得其反-它用于公开演示。此外，我希望该解决方案易于使用，原因很简单，因为与之合作的某些人并非完全是计算机专家，通常是这样。 题 因此，问题是，是否存在（相对）简单的方法来限制对（某些）上传和相应下载的访问？就像我进行的那样，这意味着真正保护和保护它们的方法吗？

11 uploads  attachments  security  private  content-restriction 

这可能是一个菜鸟问题，但请听我说-使用Nonce来保护它免受诸如scrappers（phpcurl scrappers等）之类的攻击的意义吗？但是我的Nonce像这样在文档的头部打印出来： /* <![CDATA[ */ var nc_ajax_getpost = { ...stuff... getpostNonce: "8a3318a44c" }; /* ]]> */ 因此，如果我要构建一个快速的抓取程序，我只会从该页面上获取现时值，然后在我的POST中使用它...使使用Nonce的整个过程变得毫无用处... 我在这里想念什么？

11 security  nonce 

我希望使用一些API，并且许多API都具有工作所需的密钥，私钥和密码。您可以在WordPress的何处存储该信息？假设有人可以破解您的数据库，那么WordPress可以使保存信息更加安全吗？另外，考虑一下经常更改这些键的功能，因此我需要在选项页面上更新键。 更新 Mossack Fonseca违反– WordPress Revolution Slider插件可能是原因 巴拿马文件：可通过WordPress入侵电子邮件，可通过Drupal入侵文档

11 security  options  password  private 

看来他们从事的工作几乎相同。所以... 什么时候应该esc_html()代替sanitize_text_field()？

11 security  sanitization 

我已经阅读了许多WordPress安全博客文章，其中安全专家建议一些特别的步骤，当有人担心其WordPress网站的安全性时要多加注意。其中之一是： WordPress安全提示： 删除不需要的不必要的插件。 带有安全漏洞的插件（无论是通过代码，结构还是数据库连接）都可能对站点造成致命影响，即使已在站点上将其激活也是如此。另一方面，结构良好，编码正确且数据库连接牢固的插件即使被停用也可能没有安全漏洞。那么问题到底出在哪里呢？ 我有一个网站，其中偶尔会使用一些插件。我实际上不想删除它们，但是当不需要它们时，我只是将其从站点上停用。我需要删除它们以保护我的网站吗，为什么？

10 plugins  security 

我一直在审查有关WP主题和插件安全性的许多信息，并了解应该在主题和插件中转义属性和HTML值的概念。我已经看过bloginfo()并echo get_bloginfo()在esc_html()or esc_attr()函数中使用了标准和内部代码。 创世纪（Genesis）和 _s（Automattic的基本主题）都逃避了这些值，但是WP自己的法典主题标准指南并未说明如何转义这些值。我已经研究了WP代码（wp-includes/option.php），似乎对传入的值进行了一些清理，get_option()但也似乎有一个过滤器，插件可以覆盖某些值。 正是这一事实使我想到应该逃脱它。有人可以启发我吗？

10 security  options  escaping  bloginfo 

我想过滤通过HTTP API完成的所有HTTP请求URI。 用例： WordPress更新检查转到http://api.wordpress.org/core/version-check/1.6/，但https://api.wordpress.org/core/version-check/1.6/也可以，我想要总是使用它。 新的WordPress文件来自http://wordpress.org/wordpress-3.4.2.zip，但https://wordpress.org/wordpress-3.4.2.zip也可以。 有时，我想调试请求并将那些临时请求重定向到本地服务器上的自定义域。 一些插件向其他服务器发出请求，而当外部服务器出现故障时，我想替换这些请求。 目前，更新请求是最重要的请求，因为仍然存在未修复的错误16778（更多信息），并且HTTPS请求降低了中间人攻击的风险。 我进行了彻底的搜索 ，研究了核心代码……但是两年前像Nacin一样结束了： 我以为可以过滤HTTP请求的URL，但现在找不到了。 我错过了什么？是吗 :)

10 filters  urls  security  updates  http-api 

刚发布了一个新插件：No More Passwords 我目前已将其标记为Beta，因为登录平台是一个敏感问题，并且我不想发布可能存在安全漏洞的内容。所以这是我的查询： 安全吗？ 我已完成以下操作以确保安全性： 用户名/密码永远不会来回传递，只有唯一的哈希。 哈希一旦使用就从数据库中删除，除非数据库被黑客入侵，否则无法使用尚未使用的旧哈希，但是那将带来更大的问题。 所有对哈希的数据库查询均已转义，以防止XSS攻击。 随机数已添加到ajax调用中。 随机数和确认已添加到移动端，以防止CSRF攻击。 在这里，我对它的工作原理有完整的描述。 我希望通过Twitter实现oauth的下一个版本，因为iOS现在可以在其中工作了。 感谢您的预先输入。 编辑：我决定作为一个添加的层，我将添加一个sessionID检查，以确保它是与启动QR码登录的浏览器相同的浏览器登录。

10 plugins  security 

我只是在自己的服务器上运行WP。我不是想把事情锁定得更多。数据库用户应该对我的WP数据库具有什么权限？

10 mysql  security  permissions  privileges 

我是wordpress的新手，我想通过隐藏非公共资源来提高wordpress多站点的安全性。wp-admin，wp-config等 我的设置似乎可以使用，但是我不知道该设置是否会破坏某些功能（核心功能，流行的插件等）。 一般情况下我的设置好吗？ 我的设置可以提高真正的安全性，或者我正在浪费时间？ httpd-vhosts.conf（Apache） # Disallow public access php for .htaccess and .htpasswd files <Files ".ht*"> Require all denied </Files> # Disallow public access for *.php files in upload directory <Directory "/htdocs/wp-content/uploads/"> <Files "*.php"> deny from all </Files> </Directory> # Disallow public access for... <Files "wp-config.php"> order allow,deny deny …

9 htaccess  security  configuration 

我想我在这里暴露了一些缺乏安全知识，但是吃一盐不是足够吗？为什么需要四种不同的盐？ define('AUTH_SALT', 'z(ly|p-aeKf^I~OfOUUIL&Y?C5Z.iu|L}kY%dvclq.h9n`)MlZe6'); define('SECURE_AUTH_SALT', 'NIY8g>=l9y~eV~WLu 3n>UG#3wSl4YfT%;z9`7m9Gk/k_Vn4`ej8'); define('LOGGED_IN_SALT', '<-[R@, I;m%n*9G?CU1a:))pEAa/r5X5@pT`cO2H|c2&x~G<p*3T:-5v<N'); define('NONCE_SALT', 'm(-0:+r0a%z~a:2F;]-geM$9~!4j(q3QdpkmB7;P+ZYYw7Rdy{97fS'); （不用担心，价值观被破坏了，它是一个本地站点。）

9 security 

我们已经安装了Limit Login Attempts，已经有几个星期了，在wp-admin / wp-login上发生的蛮力尝试次数非常惊人。最初，所有尝试都使用用户名“ Admin”，该用户名在我们的网站上不存在，因此我认为这很烦人，但威胁不大。但是，现在我们看到其他命名的管理员用户帐户发生了锁定，而我完全不了解攻击者如何推断这些帐户的用户名。 我们网站上的任何内容均未特别授权，并且在我们网站上找不到这些用户名公开发布的任何其他位置。 关于如何发现用户名的任何想法吗？

9 admin  wp-admin  security 

碰到一些我以前从未见过的怪事。客户拥有一个活跃的博客，并使用Akismet（付费）来防范垃圾邮件。他们每天至少报告一次垃圾邮件评论，该评论被正确标记为垃圾邮件，但是无法通过单击Empty Spam或手动选择该条目并尝试将其删除而从管理控制台中删除。 我调查了一下，发现该数据库条目具有comment_post_ID的0，我必须假定它未附加到任何帖子上。我显然可以从数据库中删除它们的手册（并且可以正常工作），但是还没有找到任何有关这可能的信息。 我已经替换了核心WP文件（认为这可能是一个安全问题），并且还重新生成了wp-config.php文件中的salts / keys 而不作任何更改。 任何想法都会有很大帮助。谢谢！ 更新资料 尽管这可能是由我引起的，但我不确定这是否是InMotion hack的结果。 这是完成的操作： 更改了FTP，MySQL密码 创建新的数据库用户，分配给数据库 更新了盐/键 wp-config.php 更改了所有WP用户密码 重新安装核心WordPress文件 Akismet缺乏关于这一想法的想法（不要怪他们），因为这一想法是持久的。

9 comments  database  security 

内置函数the_content通过多个过滤器运行，但不会转义输出。这样做很难，因为必须允许HTML甚至某些脚本通过。 输出时，the_content似乎通过以下过滤器运行（从5.0开始）： add_filter( 'the_content', 'do_blocks', 9 ); add_filter( 'the_content', 'wptexturize' ); add_filter( 'the_content', 'convert_smilies', 20 ); add_filter( 'the_content', 'wpautop' ); add_filter( 'the_content', 'shortcode_unautop' ); add_filter( 'the_content', 'prepend_attachment' ); add_filter( 'the_content', 'wp_make_content_images_responsive' ); (and) add_filter( 'the_content', 'capital_P_dangit' ); add_filter( 'the_content', 'do_shortcode' ); 它还做一个简单的字符串替换： $content = str_replace( ']]>', ']]>', $content ); 然后，get_the_content进行与“更多”链接有关的少量处理，以及与外语有关的错误。 …

8 security