您当前的位置:首页 > TAG信息列表 > security

  • 保护wp-config会导致wp设置上的敏感信息泄露

    时间:2011-03-14

    我阅读了以下教程,其中提到将配置文件从HTTP可访问文件夹中移出。http://codex.wordpress.org/Hardening_WordPress#Securing_wp-config.php我这样做了,效果很好。当我访问时http://mysite.com/wp-config.php, 正如所料,我看到了一个空白页。然而,当我访问http://mysite.com/wp-settings.php, 我收到以下错误:警告:require(ABSPATHwp includes/load.php)

  • 如何删除MacOSX上本地主机安装WP的“连接信息”要求

    时间:2011-03-16

    我刚刚在Mac OSX上安装了XAMPP,当我尝试在WP admin中安装主题或插件时,我看到了这个屏幕。我从来没有在我的共享主机帐户上得到过这个。如何在localhost上消除它?

  • 让某人临时访问我博客的代码会有安全风险吗?

    时间:2011-03-29

    我的博客在过去几天慢得令人痛苦,我想付钱给某人(任何人?)15BitCoins 为我优化它(我会自己做,但我不确定现在是否有时间)。它目前在GoDaddy托管。我的想法是给他一个我博客文件结构的快照,并让他设置一个运行它的Amazon EC2映像。在我测试他的图像后,我将切换我的域以指向新的EC2实例,并更改管理员密码。我的博客很小(只有80个读者),我想我没有任何重要/珍贵/秘密。我认为我不想泄露的私人信息可能是我的一些用户发来的几封电子邮件地址(对被泄露不太满意,但我assume 电子邮件地址没有那么

  • 我需要寻找哪些常见的安全漏洞?

    时间:2011-03-30

    作为一个想要开发WP插件的人,我应该寻找哪些主要的安全缺陷/漏洞?我将创建一个带有配置面板(即输入字段和其他内容)的新插件。我应该担心什么?例如,数据清理是否是一件大事,因为它位于/wp admin/区域?有人会直接恶意点击我的插件页面并发送POST请求或类似的东西吗?非常感谢。

  • WordPress插件和主题的安全最佳实践是什么?

    时间:2011-03-30

    As suggested in this question, 我将此主题作为一个新问题添加进来,供社区讨论/投票关于插件/主题安全的最佳实践。这是基于我当前(正在进行的工作)设置/用于审查主题的数据安全检查表的开始检查表(插件的原则应与主题的原则相同)。如果要签出具有安全且可靠编码的主题设置页面的主题,请签出此主题:http://wordpress.org/extend/themes/coraline

  • WordPress Ajax Data Security

    时间:2011-04-21

    我知道nonce可以检查意图,但如果我可以用它们来限制数据库读取,那就没有任何意义了?我的意思是,我正在使用AJAX从数据库中获取记录,但我不希望任何人通过其他方式获得该数据(向该数据库发布请求admin-ajax.php 第页)。例如,在我的AJAX处理程序中,我有这么多的工作(我正在发送$myid 以及AJAX调用中的操作):$myid = 5575; $query = \"SELECT `id` FROM table WHERE `user_id` = $myid;\"; $data

  • 可以上传文档和pdf,但不能上传ppt-出于安全原因,不允许上传

    时间:2011-05-03

    “在这里插入搜索引擎”对于这一个来说是非常无用的-我已经看过了wp-includes/functions.php, wp-admin/includes/file.php 等等,但没有找到我这种行为的原因。我正在运行多站点,当我上载时。文件或。pdf我没有问题。当我上传时。ppt-无论实际的文件名或mimetype(即,一个.ppt重命名为.txt,一个.txt重命名为.ppt)-我被告知“抱歉,出于安全原因,不允许使用此文件类型”,但没有其他解释。我是否需要修改mimes表,添加一个覆盖(如果需要,那么它

  • 检测WordPress中的会话/Cookie变量以阻止访问文档

    时间:2011-05-10

    <?php @session_start(); If (!array_key_exists(‘authed’, $_SESSION)) { include ‘not_authed.inc’; exit(); } // go about your business. ?> 我想补充一点:<?php function checkValues($valu

  • 是否确保用户一次只能登录一台计算机?

    时间:2011-05-11

    如何确保用户一次只能登录一台计算机?我想建立一个wordpress网站,将来可能会为内容付费。wordpress中是否有任何内置功能可以阻止用户多次登录?

  • 一旦3.2版本发布,3.1版本会有安全更新吗?

    时间:2011-05-20

    我目前正在PHP 5.1.6上运行WordPress 3.1.2。WordPress 3.2的最低要求是PHP 5.2.4或更高版本。如果我继续运行WordPress 3.1.2,并且存在安全问题,他们会提供3.1的安全更新吗,还是会强制我升级PHP版本,以便升级到WordPress 3.2?

  • 如果我在评论区允许img标签,我的Wordpress站点是否会受到跨站点脚本(XSS)的攻击?

    时间:2011-05-23

    我打算跟着this 教程,以允许我的订阅者在评论中添加图像(实际上是一种称为“回复”的自定义帖子类型)。Wordpress过滤器<img> 默认情况下标记(管理员除外)。如果我在我的评论部分允许img HTML标记,我的Wordpress站点会容易受到跨站点脚本(XSS)攻击吗?

  • 允许用户自己注册和发布:WordPerss处理这些问题吗?

    时间:2011-06-04

    如果允许WordPress博客的访问者在没有限制的情况下注册并发布到博客上(即不提交审查),恶意访问者可能会尝试1) 发布大量帖子并填满服务器空间2) 发布几个大帖子,填满服务器空间3) 创建大量草稿并填满服务器空间4) 发布不适当的内容WordPress是否有机制来防止这些?或者有什么插件可以做到这一点?P、 S:如果你看到我遗漏的任何其他问题,请也指出。谢谢

  • 为什么我的博文被别人插入了很多广告链接?

    时间:2011-06-06

    我发现我的博客帖子中插入了大量的广告链接,我正在使用WordPress 2.9.2,其中是否存在已知的安全漏洞<屏幕截图:我在博客上发布了一些代码,广告链接被插入其中。几天前我手工删除了它们,我发现它们又回来了!

  • 验证我是否已完全删除WordPress的黑客攻击?

    时间:2011-06-10

    My for fun WordPress博客位于http://fakeplasticrock.com (运行WordPress 3.1.1)遭到黑客攻击--它显示<iframe> 在每一页上都是这样:<iframe src=\"http://evilsite.com/go/1\"></iframe> <!DOCTYPE html PUBLIC \"-//W3C//DTD XHTML 1.0 Strict//EN\" \"http://www.w3.org/

  • Multiple ajax nonce requests

    时间:2011-06-12

    我当前的项目中有一个特性,它将允许多个ajax请求-我已经完成了一个nonce请求(通过this tute), 但我有点不确定如何处理多个nonce请求。功能。php:本地化,创建单个nonce wp_localize_script( \'B99-Portfolio\', \'B99ajax\', array( \'ajaxurl\' => admin_url( \'admin-ajax.

  • WordPress是否验证所有函数的输入?(如GET_USER_META和INSERT_USER_META)

    时间:2011-06-13

    WordPress是否验证对所有访问数据库的内置函数的输入,以防止SQL注入漏洞,或者我们是否必须在传递它们之前进行验证?

  • 应使用哪些KES以及何时使用?

    时间:2011-06-15

    WP来源显示wp_filter_kses 和wp_filter_post_kses 传递的数据“预期将用斜杠转义”另一方面wp_kses_data 是传递的“预期不会转义”的数据,并且wp_kses_post 具有类似于wp\\u kses\\u数据的代码。将未知(用斜杠转义)数据传递给这些函数有多安全?第一套能比第二套更受欢迎吗?还是第二套更安全?或者,在这种情况下,您绝对需要知道数据的状态是否已被删除?--更新--我现在想,如果你不知道数据是否被转义,你可以使用wp_kses_data( strips

  • 如何在不搜索的情况下将“wp-admin”改为其他内容--替换核心?

    时间:2011-06-17

    例如:foobar。com/wp/edit代替foobar。com/wp/wp管理员我该怎么做?我已尝试在htaccess中使用此功能,但无法正常工作:##### ABOVE THIS POINT IS ALREADY INSERTED BY WORD PRESS ##### Admin Base Rewrite ##### RewriteCond %{REQUEST_URI} wp-admin/ RewriteCond %{QUERY_STRING} !sercretword&#

  • 我的WordPress站点在添加了这个允许更多订阅者使用的HTML标签的功能后会变得脆弱吗?

    时间:2011-06-19

    我正在考虑在我的functions.php 文件:/** * Change the default list of allowed html tags */ add_action(\'init\', \'edittag\', 10); function edittag() { define(\'CUSTOM_TAGS\', true); global $allowedposttags, $allowedtags; $allo

  • 在WP中存储POST元数据最安全的方式是什么?

    时间:2011-06-23

    索尼最近的安全“漏洞”表明,存储未加密的数据是多么不安全。正如你们中的一些人可能知道的,我正在重新发布免费的CRM主题浮木。在数据库中存储敏感(即非公开信息)post meta最安全的方法是什么?