我在一个公司项目中工作,他们正在由顾问进行安全审计,他们发现了以下有关Wordpress的问题。我设法在中使用标头解决了许多问题。htaccess,但有些似乎是wordpress核心的一部分,不确定如何继续。
尝试使用安全方法防止会话劫持攻击。每次用户登录和注销时,会话Id都应该更改/刷新
是否有任何方法可以在不更改核心文件的情况下修复这些问题?是否有任何文档可以在高安全性环境中使用wordpress强化这些问题?
如何解决安全审计中的这些发现
1 个回复
SO网友:Jacob Peattie
尝试使用安全方法防止会话劫持攻击。每次用户登录和注销时,会话Id都应该更改/刷新。
WordPress不使用PHP会话,也没有静态会话ID。您必须使用这样的插件或主题。
登录凭据应在代码级别加密。
WordPress的登录凭据已加密。如果您使用的是某种自定义系统,那么它的作者需要解决这个问题。
当在用户端进行url操作时,它应该自动重新定向到应用程序开发的错误页面。
WordPress确实重定向到标准404页面。
升级到jquery的最新版本(3.3.1)(WP使用1.12.4,它是安全的,但是否可以在不破坏依赖jquery的管理和其他功能的情况下进行升级?)
它可能会打碎东西。不要试图替换WordPress的jquery。
老实说,前三个问题听起来像是由您开发或包含的第三方代码引起的问题(与WordPress一起,或在主题/插件中),而不是WordPress本身的问题。
结束