您当前的位置:首页 > TAG信息列表 > security
在登录页面上收到“此内容无法在框中显示”错误
我正在不同的服务器中为我的WordPress目录使用一个新域。当我点击元链接时,如;“登录”;或“或”;“注册”;,我获得此页面:此内容不能显示在框架中为帮助保护您输入此网站的信息的安全,此内容的发布者不允许将其显示在框架中。您可以尝试的内容:在新窗口中打开此内容我怎样才能解决这个问题?
W3总缓存上的字栏扫描警告
我使用Wordfence插件,该插件使用原始插件文件扫描服务器端插件,以查看是否有任何内容被黑客/黑客修改。今天我收到一条警告,它显示了对/w3 total cache/lib/w3/cache/File的这些修改。php我应该担心吗?上次我读到的是W3 exploit going around.
管理员删除帖子的安全性
我的代码非常简单,就像管理员通过Wordpress Function(PHP)删除帖子并使用jQuery执行操作一样<?php include(\'../../../../../../wp-config.php\'); if(current_user_can(\'edit_posts\')){ $id = $_POST[\'ID\']; wp_delete_post($id); }else{die();} ?> 这
不允许文件编辑,不阻止插件安装
我有一个小的演示站点(管理详细信息公开列出),我已经配置了wp-config.php 不允许编辑文件,因此理论上没有人可以安装主题/插件。define( \'DISALLOW_FILE_EDIT\', true ); define( \'DISALLOW_FILE_MODS\', true ); 然而最近我注意到了奇怪的插件&;正在我的演示站点上安装主题。我可以在apache日志中看到他们一直试图访问plugin-install.php 但失败了,错误为500。文件夹权限为755 在
我如何使用单一提供商的OpenID来保护WordPress博客?
我们即将为我所在的公司推出一个内部博客。博客的大部分内容将向公众开放,但某些帖子将仅面向员工。我们的intranet/extranet有一个OpenID端点,我们想用它来保护私有博客帖子。这有很多好处,尤其是人们不必再使用另一个用户名和密码登录。此外,当新加入博客的人使用其OpenID登录时,我们不想要求他们设置本地WordPress用户帐户–我们希望这是自动处理的。如果不存在指定了OpenID的用户,则应自动创建一个用户。顺便说一句,我们通过内部使用的其他第三方软件采取了这一路线。在大多数情况下,我们采
自动登录挂钩需要刷新页面
我有一个简单的自动登录挂钩,如下所示:function auto_login() { if (!is_user_logged_in()) { //Removed some code for brevity. $user = get_userdatabylogin($domainName); if ($user != null) { //Set the auth coo
Separate Out Real Users
如果我看/wp-admin/users.php 我看到了所有的用户,但有些用户发送了一封虚假的电子邮件,从未使用过他们的密码。有没有办法知道谁至少使用过一次密码?如果没有,是否有一个插件可以继续这样做?
将esc_html与HTML净化器和CSSTidy一起使用:过度杀伤力?
目前,Wordpress主题选项面板中的我的文本区域输入(接受用户自定义CSS输入)由Wordpress中的esc\\u html函数进行清理http://codex.wordpress.org/Function_Reference/esc_html然而,我正在考虑一种安全的方法,因此我想添加HTML净化器和CSSTidy,如下图所示:https://stackoverflow.com/questions/3241616/sanitize-user-defined-css-in-php这有必要吗?或者像e
蛮力怎么知道目标用户名的密码被破解了?
WordPress网站上有很多暴力攻击(主要针对“admin”用户名)。所有这些攻击都是通过post请求自动进行的。问题1:how brute-forcer knows that the password is cracked for target username?暴力破解者会尝试使用典型的密码,如:“12345”、“qwerty”等。站点管理员通常会使用带有典型密码的用户名“admin”,有时会通过暴力破解该用户名。Limit-login attempts plugin 顺便说一下,这个问题解决得很好
Too many login attempts
从一两周以来,我一直收到WordPress网站发送的以下自动电子邮件,我想知道这是否表明存在任何安全漏洞,以及我是否可以采取任何措施来阻止它:“主机,79.148.238.85(您可以在http://ip-adress.com/ip_tracer/79.148.238.85) 已被锁定在WordPress网站之外http://my_site.com 直到2013年2月22日星期五上午9:41:54 UTC,因为登录尝试次数太多。如有必要,您可以登录网站手动释放锁。“”
如何停止直接将HTTP POST发送到PHP脚本?
我在我的网站上有一个表单,使用带有Captcha的联系人表单7创建。表单的内容在发布时发送到PHP脚本,表单的“action”属性设置为themes/<themename>/<filename>.php 我们收到了很多垃圾邮件,似乎有人可以手工制作表单并使用它发送垃圾邮件。在处理脚本中,我检查HTTP_REFERRER, HTTP_SERVER 查看请求是否通过我们的网站传入,但也可以在中手动创建这些标题。我需要采取哪些步骤来阻止垃圾邮件的传入?感谢您的帮助。EDIT : 更清晰一
何时使用esc_url、esc_html、esc_attr和好友?
已发现esc_url 今天在自定义_s 主题我了解该函数的作用(清理内部的URL),但我不确定它的使用范围。对我来说,如果我接受用户的URL输入,我会使用它。但是当我看到一个显示条目元信息的函数时(see it here...第129行),它使用esc_url, 这对我来说毫无意义。如果我正在处理一个主题,我是否需要转义我放在模板文件中的任何URL?
force login loophole
我想限制对WordPress网站的访问,只允许注册用户访问。我尝试了以下插件:它们都有相同的问题:在看到登录页面后,您可以轻松地在浏览器地址栏中重新键入URL,以绕过登录屏幕,直接访问主页,而无需登录。只有主页可以通过这种方式访问。单击任何菜单,将返回登录屏幕。我怀疑我的网站有问题,而不是插件有问题。我有以下活动插件:高级自定义字段Akismet分析360自定义帖子模板登录重定向选择问题(&L);A-WordPress问答插件原始HTML Relevanssi版本控制快速类型搜索(Swiftype Sea
在公共联系人表单中使用wp_EDITOR是否安全
我要为我的网站制作一个联系表单,我想在我的表单消息字段中使用WYSIWYG编辑器(wp\\U编辑器)。我的问题是,通过禁用媒体按钮在公共场合安全使用wp\\U编辑器吗?类似这样:http://i.stack.imgur.com/dpspL.jpg谢谢
数据验证、动态生成的字段(例如SELECT)
为了保护我的插件,我不知道该如何处理输出,比如动态生成的选择字段。例如,我在后端通过PHP生成了一个国家/地区代码select,它有200多个选项长,但整体存储为$ctry_code_sel. 当然,我有一种“一切都是可疑的”的感觉,我使用wordpress的母语esc_url 和esc_attr_e 等等,但似乎esc_html_e 等在这种情况下没有用处。当时间到来时,在任何给定的页面上,我想要输出我的选择字段(例如echo $ctry_code_sel;) 我是否可以/应该在那里做些什么来防范跨站点
允许选定用户的配置文件HTML
我知道有很多关于如何在配置文件中允许html的帖子。其中大多数警告这样做的安全风险。我的想法是,必须有一种方法只允许用户对某些用户使用html。我试过了,但没用。我认为这是因为你无法从过滤器内部移除过滤器。任何帮助都会很棒。add_action(\'edit user profile update\', \'nifty_strip_html\'); function nifty_strip_html($user_id) { if ($user_id == 2){&#x
将wp-config.php上移2级
是否可以更改设置,以便wp config。php可以上移两个目录级别(而不是默认的1级)?这将允许将核心WP文件从public\\u html移动到子目录,同时允许WP config。php将移动到public\\u html之上,因此无法公开访问。
为什么允许重写关键的可插拔函数wp_verify_nonce和wp_create_nonce?
中的功能/wp-includes/pluggable.php 是功能wp_verify_nonce 和wp_create_nonce. 这两项功能在防止CSRF攻击方面都非常重要。然而,很容易在插件中重写这些函数,以便所有nonce都被接受为有效。if( ! function_exists(\'wp_verify_nonce\') ) { function wp_verify_nonce($nonce, $action = -1) { return 1; }
如何允许特定用户发布特定类型的帖子?
以下是我的网站设置的简要总结:我有一个相对简单的Intranet站点。现在,我正在利用帖子为用户提供新闻。我也在使用页面。我只希望某些用户能够做这些事情(比如说“编辑器”)。我想做的是建立一个网站的社区部分,在那里所有用户都可以发表帖子(出售物品等)。我想知道最好的方法是什么?我可以使用一个类别来轻松显示这些类型的帖子。但是,我不希望用户能够发表任何类型的帖子。我只希望他们能够发布到社区。如果有人发布新闻,我希望他们有更高的安全级别。如果我想得不对,我想听听其他的想法!Edit:这是我当前的自定义邮政编码
假设一个随机数可能会被多次验证,这样做安全吗?
根据我收集的信息,一旦生成nonce,它就可以在接下来的48小时内重用。记住这一点编码安全吗?我正在编写一个插件,它通过AJAX与客户机进行来回切换,我想知道是否应该在页面加载时生成一个nonce,并将其用于所有通信,或者为每个请求生成一个新的nonce,并将其包含在响应中。