您当前的位置:首页 > TAG信息列表 > security

  • 如果我想让WordPress更安全,我应该授予目录什么权限?

    时间:2012-02-07

    这是对之前问题的跟进How can I lock down an old wordpress install I don't intend to update?同样的信息仍然存在。WordPress安装(可能)不会更新。已启用永无止境的缓存。只能读取数据库。我认为我的WordPress安装已经被很好地锁定了,但似乎在某种程度上,有什么东西能够在主题目录中创建一个外观有趣的文件(以eval(blah)结尾)。我不会把自己归类为系统管理员类型的人,但我想有人会知道我应该设置哪些目录,以增强我的安全性。

  • 处理前端文件上传,考虑安全性和易用性

    时间:2012-02-12

    我正在寻找一个现有的类似论坛的插件,它没有连接媒体的功能。该插件作为一种自定义帖子类型工作,因此它就像将图像附加到帖子一样“简单”。我只关心附加图像,而不是任何文件类型,但插件确实使用wp_editor 因此,解决方案应该在某种程度上与此相结合。只要解决方案能够将图像的缩略图插入到tinyMCE文本区域中,我就不会对创建tinyMCE按钮过于担心。请注意,我指的是我网站的前端,而不是管理区域。在绝对理想的情况下,我希望出现这种情况:用户单击“询问问题”用户输入其帖子详细信息用户单击tinyMCE界面上的按

  • Protecting HTML5 video

    时间:2012-02-15

    我会尽我所能解释我的情况,这样你就能知道我是从哪里来的。我正在为一个运动队的wordpress网站工作,那里有很多队。我们想在我们的网站上开设辅导课程。这是为了让所有教练都能看到应该如何进行训练,因为许多教练都是家长教练。问题是,在一个非常紧密的社区里,有很多教练,很多家庭都有孩子在其他地区的竞争队中,所以我们要做的是保护我们的材料不受任何影响;只是被我们的教练下载并与对手教练共享,或者是那些本来就不应该访问它的人,或者是那些获得视频链接并自己访问视频并可能分发视频的人。当地球队之间有很多球员和教练的动作

  • 多页密码保护

    时间:2012-02-17

    WordPress的“密码保护页面”功能是否可以应用于多个页面?我有几十个页面,我希望用相同的密码保护它们,但我不希望人们每次打开新页面时都必须键入密码。我也不希望人们需要一个帐户,他们只需要一个密码!

  • WordPress恶意软件问题帮助!

    时间:2012-02-22

    Possible Duplicate:Wordpress Trojan issue help! 我访问了我正在创建的wordpress网站,并从我的防病毒软件收到了特洛伊木马的警告。我现在用各种在线扫描仪检查了该网站,似乎有人植入了一个内联框架,其中包含下面发布的代码。。。我甚至不知道wordpress会以这种方式感染。请帮帮我!这是防病毒警告的屏幕截图。http://i.stack.imgur.com/NaSE6.png这是我网站上植入的一些恶意代码脚本代码。如果(窗口[\'d\'+\'o\'+\'c

  • 定期安全检查-应包括哪些步骤?

    时间:2012-02-27

    有很多教程解释如何确保WordPress安装的安全,但我找不到任何列出每周或每月安全检查步骤的教程。您建议我定期执行哪些步骤来确保WordPress的安全(除了更新核心和插件之外)?以下是我已经实现的一些事情:强制所有其他用户仅以编辑器身份运行删除了未使用的主题和插件我的主题是自定义编写的,所以我知道没有类似的脚本timthumb.php 在里面。它还由Genesis提供动力,Genesis具有自动主题更新功能每隔几个月更改一次我的管理员密码使用Vault Press自动备份我之所以担心,主要是因为我客户

  • WordPress的哪些.php文件需要通过HTTP直接访问?

    时间:2012-03-02

    我正在努力加强WordPress安装的安全性,其中一件看起来可能是个好主意的事情是阻止所有内部使用。php文件无法通过HTTP直接访问。例如,http://MYSITE/blog/xmlrpc.php 需要保持直接访问,但没有理由http://MYSITE/blog/wp-load.php 不应该给404。问题是:我在哪里可以得到完整的Wordpress股票列表。可以合法出现在URL中的php文件?此外,我使用mod\\u rewrite删除顶层index.php 从我所有发布的URL中--这是否意味着我

  • “HTTPS_LOCAL_SSL_VERIFY”筛选器

    时间:2012-03-05

    我遇到了一些WordPress代码,它会将请求发布到API站点,并在其具有的SSL属性的POST参数中进行发布$params = array( \'body\' => $_POST, \'sslverify\' => apply_filters(\'https_local_ssl_verify\', false)); 那么,为什么不简单地说是真是假呢?

  • Encrypt emails?

    时间:2012-03-06

    对于我们网站上当前邮寄至内部电子邮件地址的表格,我们需要保持HIPPA合规性。虽然用户/客户通过HTTPS提供信息,但我们仍然希望确保我们保持合规性。。。有没有插件可以确保从Wordpress应用程序发送给收件人的电子邮件是加密的?从本质上讲,我想确保从客户向我们提供数据到数据到达加密邮件服务器时,数据都是安全的。HIPPA合规性更新Disclaimer: 我不是律师,也不是合规官员。下面是我对规则和法律的解释,可能不准确。我鼓励您耗尽资源,确保您的组织符合法律或道德适用的所有合规要求。HIPPA FAQ

  • Esc_html和wp_filter_nohtml_kses有什么区别?

    时间:2012-03-09

    两者之间的确切区别是什么esc_html 和wp_filter_nohtml_kses. 我到处看都说all html,我能看到的唯一区别就是它们是如何做到这一点的。做esc_html 对标签进行编码wp_filter_nohtml_kses 把它们全剥了?

  • 在生产环境中禁止*.php请求的副作用是什么?

    时间:2012-03-09

    为了确保生产环境的安全,我所在的一家公司已将整个wp-admin/ 目录,并将不允许所有*.php 使用403 Forbidden HTTP错误。这样做有什么陷阱吗?(除了现在明显允许管理或其他后端功能之外)。后端是否有任何子系统,如果这些子系统已经就位,我应该担心它们不能正常工作?(内容更新是在安全区域进行的,推送到生产环境的过程会复制数据库和WP文件,除非wp-admin/* 文件。)。谢谢

  • Contact Form Security

    时间:2012-03-10

    在Wordpress中构建我自己的联系人表单。除了典型的电子邮件etc验证和可能的验证码之外,我还需要考虑任何其他安全步骤。我没有向数据库发送任何数据。

  • Strid_tag和wp_filter_nohtml_kses有什么不同?

    时间:2012-03-12

    两者的区别是什么strip_tags 和wp_filter_nohtml_kses. 我试图从源代码中找出wp\\u filter\\u nohtml\\u kses,但看起来它做的事情比剥离所有html要复杂一些,尽管这是codex所说的。我认为kses函数很昂贵,所以我想知道如果它所做的只是剥离html,为什么不使用strip\\u标记。

  • Spam in Wordpress root folder

    时间:2012-03-13

    两个问题合一。最近在Wordpress安装(域安装)的根目录中引入了一个php文件。它没有干扰我的网站,但显然是在使用域名传播广告。1) 如何将文件粘贴到我的根目录中?如何阻止这种情况再次发生?2) 该文件包含的内容非常准确this code.谢谢

  • Wp_nonce_field显示两次

    时间:2012-03-16

    我有wp_nonce_field 在我的代码中,但由于某种原因,它为html代码创建了两个实例,一个在我期望的地方,另一个在条目的开头。这是对的还是我做错了什么。它正在创建验证程序错误。我所做的一件事有点不同,那就是表单是通过一个短代码输出的,但我没想到这会导致问题。我已经检查了其余的代码wp_nonce_field 因为某种原因“工作两次”。。。下面是代码的相关部分 (rest of form code precedes this) $formDisplay .

  • Wp-content/plugins中的权限问题

    时间:2012-03-17

    我在本地机器上安装了一个WP,试图用插件弄脏我的手。我希望从github克隆一个包含此插件代码的项目。然而,我没有插件内部的权限,作为一个没有su权限的普通用户,我无法做到这一点。(当然,我可以成为根并这样做,但我不认为这是应该的)。然后,默认情况下,WP安装中的文件夹将组设置为“tape”,这对我来说很奇怪。本地WP安装上内部文件夹的正确权限应该是什么?

  • Esc_html__security:在本例中用于什么?

    时间:2012-03-19

    如何esc_html__ (第二个)保护$message 被黑客攻击的变量?在这里使用这种保护有什么意义(第二种是纯文本保护)?<?php function unknown(){ /* If the user input any text, escape it. */ if ( !empty ( $_POST[\'unknown\'] ) ) $message = esc_html ( $_POST[\'unknow

  • 我可以阻止用户名的枚举吗?

    时间:2012-03-22

    我可以阻止在wordpress站点上枚举用户名吗?我现在可以看到用户在使用WPScan工具。

  • WP_VERIFY_NONCE与CHECK_ADMIN_REFERER

    时间:2012-04-05

    有什么区别,我应该使用哪一个?我知道wp\\u verify\\u nonce会检查时间限制,check\\u admin\\u referer我想会调用wp\\u verify\\u nonce并检查管理员url段,但我有点搞不清楚应该使用哪一个以及何时使用。谢谢你的澄清。

  • 为什么人们默认使用“admin”用户名?

    时间:2012-04-17

    WordPress用户默认使用“admin”用户名登录管理面板,因为WordPress在安装结束时建议使用此用户名。但“admin”用户名是最常见的暴力用户名,因为在WordPress支持的大多数网站上都存在该用户名。默认情况下,WordPress不限制登录尝试。您可以使用“”限制登录尝试Limit Login Attempts插件。我在我的网站上安装了这个插件,每3-5天,每次暴力攻击者试图使用“admin”用户名时,我都会受到大约1次暴力攻击。默认情况下使用“admin”用户名有什么好处吗?