Запитання з тегом «security»

У мене є веб-сайт, для якого ми намагаємось бути розбірливим щодо того, що ми використовуємо WordPress. Які кроки ми можемо зробити, щоб зробити його менш очевидним? EDIT - Важлива примітка щодо безпеки: Будь ласка, розумійте, що зробити це ідеально неможливо відповідно до відповіді Марка , тому не покладайтеся на це …

142 security  customization 

Однією з найпоширеніших найкращих практик безпеки в наші дні, здається, є переміщення на wp-config.phpодин каталог вище, ніж корінь документа vhost . Я ніколи насправді не знайшов для цього хорошого пояснення, але я припускаю, що це звести до мінімуму ризик зловмисного або зараженого скрипту в веб-корі від прочитання пароля бази даних. …

135 security  customization  wp-config 

Мій веселий блог WordPress на веб-сайті http://fakeplasticrock.com (запуск WordPress 3.1.1) зламався - він показував <iframe>на кожній сторінці так: <iframe src="http://evilsite.com/go/1"></iframe> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> Я зробив наступне Оновлено до 3.1.3 за допомогою вбудованої системи оновлення WordPress Встановлено сканер Exploit (багато критичних попереджень …

105 security  hacked 

Я використовую wordpress для приватного сайту, на який користувачі завантажують файли. Я використовую "Приватний WordPress" для запобігання доступу на сайт, якщо користувач не входить у систему. Я хотів би зробити те ж саме з файлами, завантаженими в папку завантажень. Отже, якщо користувач не ввійшов у систему, він не зможе отримати …

79 media  security  media-library  uploads 

Чи можливо перейменувати папку wp-admin? Я знаю, що міг би просто перейменувати його, але, якщо це не підтримується кодом, багато речей зламаються. Якщо я використовую ім’я спеціальної папки, це зробить її трохи більш захищеною, захищеністю від невідомості та всім цим.

69 wp-admin  security 

Під час написання плагінів WordPress часто виникає потреба налаштувати параметри, для яких ролі на сайті мають доступ до певної функціональності чи контенту. Для цього плагін-розробник повинен отримати список ролей, які існують на сайті для використання в цій опції. Оскільки власні ролі можна створити, ми не можемо вважати, що ролі за …

38 security  users  capabilities  user-roles 

Нещодавно у мене виникла проблема, коли мені не вдалося встановити плагін WP Smush Pro, оскільки у мене відсутні параметри встановлення вручну або встановлення одним клацанням. Я наткнувся на цю публікацію, яка запропонувала змінити налаштування в wp-config.php. Я додав запропоновані налаштування, однак той, який видається найважливішим: define('FS_METHOD', 'direct'); Те , що …

36 plugins  security  wp-config  ftp 

Чи можу я запобігти перерахуванню імен користувачів на своєму сайті Wordpress? Наразі я бачу користувачів за допомогою інструменту WPScan.

33 security 

Час від часу я стикався з наступним фрагментом у темах: if ( ! defined('ABSPATH')) exit('restricted access'); Це на початку деяких (усіх?) PHP-файлів у темі, і це повинно перешкоджати прямому доступу до файлу з нечесних джерел. Я бачу, що це не входить у двадцять десять чи одинадцять, і я ніколи не …

31 theme-development  security 

Я модернізував WordPress до 4.7.1, і після цього я спробував перерахувати користувачів за допомогою REST API, який слід виправити, але мені вдалося знайти користувачів. https://mywebsite.com/wp-json/wp/v2/users Вихід: [{"id":1,"name":"admin","url":"","description":"","link":"https:\/\/mywebsite\/author\/admin\/","slug":"admin","avatar_urls":{"24": ... Журнал змін з останньої версії: API REST викрив дані користувачів для всіх користувачів, які були автором публікації публічного типу публікації. WordPress 4.7.1 …

28 security  rest-api 

Через певний час WP виходить з системи всіх користувачів і змушує їх знову входити в систему. Для середовищ розробки на моїй локальній машині це неприємно і зовсім непотрібно. Чи існує спосіб, орієнтований на API, відключення автоматичного виходу на невизначений термін? В ідеалі мені хотілося б щось додати wp-config.phpразом з іншими …

28 security  wp-admin  login 

Будь-який спосіб змінити URL-адресу wp-login.php? Здається невпевнено, що кожен, хто коли-небудь використовував Wordpress, міг легко побачити, чи використовує ваш сайт, і потрапити прямо на сторінку входу. Раніше був плагін під назвою "Stealth логін", але він не оновлювався. (Звідси і наше небажання покладатися на плагіни).

26 login  security 

Який найкращий спосіб усунути файл xmlrpc.php з WordPress, коли він вам не потрібен?

25 security  content  xml-rpc  customization 

Наразі це запитання не підходить для нашого формату запитань. Ми очікуємо, що відповіді будуть підкріплені фактами, посиланнями або експертними знаннями, але це питання, ймовірно, вимагатиме дискусій, аргументів, опитувань чи розширеної дискусії. Якщо ви вважаєте, що це питання можна вдосконалити та, можливо, знову відкрити, відвідайте довідковий центр для ознайомлення . Закрито …

22 plugins  themes  security 

Яка різниця, яку я повинен використовувати? Я знаю, що wp_verify_nonce перевіряє часовий ліміт, а check_admin_referer я думаю, що дзвонить wp_verify_nonce, а також перевіряє, чи є сегмент URL-адреси адміністратора, але я трохи розгублений, який саме я повинен використовувати і коли. Дякую за ясність.

21 admin  security  nonce