Als «security» getaggte Fragen

Stärkung von Themen, Plugins und Kerninstallationen, um ein Eindringen zu verhindern.

3
Was könnte ein Hacker mit meiner wp-config.php machen?
Ich versuche mein WordPress-Blog zu sichern. Ich habe einige Beiträge im Web gelesen, die ich ändern table_prefixund verstecken sollte wp-config.php. Allerdings verstehe ich es nicht? Was könnte ein Angreifer mit meinem machen wp-config.php? Ich meine, es gibt meine Datenbankkonfigurationen, aber der Angreifer benötigt DB_HOSTzum Beispiel meine , die nicht so …
1
einfache Lösung zur Einschränkung des Zugriffs auf (einige) Uploads / Downloads
Ausgangssituation Für eine Site, die ich einrichte, habe ich mich mit dem gesamten Bereich der Sicherung von Uploads / Downloads und der Einschränkung des Zugriffs auf diese basierend auf Benutzerrollen / -funktionen befasst. Natürlich habe ich einige der vorherigen Fragen zum (allgemeinen) Thema hier gelesen, aus Referenzgründen die wichtigsten / …
2
Sind Nonces nutzlos?
Dies ist wahrscheinlich eine Noob-Frage, aber hören Sie mich an - ist es nicht sinnvoll, Nonce zu verwenden, um sich vor Dingen wie Scrappern (Phpcurl-Scrappern usw.) zu schützen? Aber mein Nonce druckt wie folgt im Kopf des Dokuments aus: /* <![CDATA[ */ var nc_ajax_getpost = { ...stuff... getpostNonce: "8a3318a44c" }; …
11 security  nonce 
3
Deaktivierte Plugins sind Sicherheitslücken - Gerücht oder Realität?
Ich habe viele WordPress Security-Blog-Artikel gelesen, in denen die Sicherheitsexperten einige spezielle Schritte empfehlen, um vorsichtig zu sein, wenn jemand über die Sicherheit seiner WordPress-Site besorgt ist. Einer von ihnen ist: WordPress-Sicherheitstipps: Entfernen Sie unnötige Plugins, die nicht verwendet werden. Ein Plugin mit Sicherheitslücken, sei es durch Code, Struktur oder …
10 plugins  security 
1
Sollte aus Sicherheitsgründen bloginfo () oder get_bloginfo () maskiert werden?
Ich habe viele Informationen zur Sicherheit von WP-Themen und Plugins überprüft und das Konzept verstanden, dass Sie Attributen und HTML-Werten in Themen und Plugins entgehen sollten. Ich habe sowohl Standard als auch innerhalb einer oder Funktion gesehen bloginfo()und echo get_bloginfo()verwendet .esc_html()esc_attr() Genesis und _s , das Basisthema von Automattic, entziehen …
3
HTTP-Anforderungs-URI filtern?
Ich möchte jeden HTTP-Anforderungs-URI filtern, der über die HTTP-API ausgeführt wird. Anwendungsfälle: Die Überprüfung des WordPress-Updates erfolgt unter http://api.wordpress.org/core/version-check/1.6/ , aber https://api.wordpress.org/core/version-check/1.6/ funktioniert auch, und ich möchte dies immer zu benutzen. Die neue WordPress-Datei stammt von http://wordpress.org/wordpress-3.4.2.zip , aber https://wordpress.org/wordpress-3.4.2.zip funktioniert auch. Manchmal möchte ich Anforderungen debuggen und diese temporär …
2
Wie kann ich eine kennwortlose Anmeldefunktion sicher implementieren?
Habe gerade ein neues Plugin gepostet: Keine Passwörter mehr Ich habe es derzeit als Beta markiert, da das Anmelden bei einer Plattform ein heikles Problem ist und ich nichts veröffentlichen möchte, das möglicherweise Sicherheitslücken aufweist. Also hier ist meine Frage: Ist sicher? Ich habe Folgendes getan, um die Sicherheit zu …
10 plugins  security 
2
Wo können API-Schlüssel und -Kennwörter in WordPress sicher gespeichert werden?
Ich möchte einige APIs verwenden und viele werden mit Schlüsseln, geheimen Schlüsseln und Passwörtern geliefert, die für die Arbeit erforderlich sind. Wo in WordPress können Sie diese Informationen speichern? Angenommen, jemand kann Ihre Datenbank hacken. Gibt es für WordPress überhaupt eine Möglichkeit, das Speichern dieser Informationen sicherer zu machen? Berücksichtigen …
2
Verbessern Sie die WordPress-Sicherheit, indem Sie nicht öffentliche Ressourcen ausblenden
Ich bin neu in WordPress und möchte die Sicherheit von WordPress Multisite verbessern, indem ich nicht öffentliche Ressourcen verstecke, z. wp-admin, wp-config etc. Meine Einstellung scheint zu funktionieren, aber ich weiß nicht, ob diese Einstellung etwas beschädigen kann (Kernfunktionen, beliebtes Plug-In usw.) Sind meine Einstellungen im Allgemeinen gut? Meine Einstellungen …
1
Warum hat WordPress mehr als ein Salz?
Ich schätze, ich stelle hier einen Mangel an Sicherheitskenntnissen fest, aber sollte es nicht ausreichen, ein Salz zu haben? Warum sind vier verschiedene Salze notwendig? define('AUTH_SALT', 'z(ly|p-aeKf^I~OfOUUIL&Y?C5Z.iu|L}kY%dvclq.h9n`)MlZe6'); define('SECURE_AUTH_SALT', 'NIY8g>=l9y~eV~WLu 3n>UG#3wSl4YfT%;z9`7m9Gk/k_Vn4`ej8'); define('LOGGED_IN_SALT', '<-[R@, I;m%n*9G?CU1a:))pEAa/r5X5@pT`cO2H|c2&x~G<p*3T:-5v<N'); define('NONCE_SALT', 'm(-0:+r0a%z~a:2F;]-geM$9~!4j(q3QdpkmB7;P+ZYYw7Rdy{97fS'); (Keine Sorge, die Werte sind verstümmelt und es handelt sich um eine lokale Site.)
9 security 
2
Sichern von Administratorkonten - Erkennung von Benutzernamen
Wir haben seit einigen Wochen Limit-Anmeldeversuche installiert, und die Anzahl der Brute-Force-Versuche, die bei wp-admin / wp-login auftreten, ist ziemlich erstaunlich. Anfangs waren alle Versuche mit dem Benutzernamen "Admin", der auf unserer Website nicht vorhanden ist, daher empfand ich dies als Ärger, aber nicht als große Bedrohung. Jetzt treten jedoch …
1
comment_post_ID 0 (kann nicht aus dem Dashboard entfernt werden)
Bin auf etwas Seltsames gestoßen, das ich noch nie gesehen habe. Ein Kunde hat ein ziemlich aktives Blog und verwendet Akismet (kostenpflichtig), um sich vor Spam zu schützen. Mindestens einmal am Tag melden sie einen Spam-Kommentar, der korrekt als Spam markiert ist, aber nicht aus dem Administrator-Dashboard entfernt Empty Spamwerden …
4
Warum entkommen, wenn der Inhalt nicht vorhanden ist?
Die eingebaute Funktion the_contentdurchläuft mehrere Filter, entgeht jedoch nicht der Ausgabe. Es wäre schwierig, dies zu tun, da HTML und sogar einige Skripte durchgelassen werden müssen. Bei der Ausgabe scheint der Inhalt diese Filter zu durchlaufen (ab 5.0): add_filter( 'the_content', 'do_blocks', 9 ); add_filter( 'the_content', 'wptexturize' ); add_filter( 'the_content', 'convert_smilies', …
8 security 
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.