Articles of безопасности

Безопасность SELinux и обновления WordPress

У нас есть довольно огромная установка нескольких сайтов WordPress с множеством тем / плагинов . Поэтому у нас часто появляются новые доступные обновления (core / themes / plugins). Мы не используем автоматические обновления : AUTOMATIC_UPDATER_DISABLED – это true DISALLOW_FILES_MODS – false На самом деле мы используем систему безопасности на стороне сервера ( Security-Enhanced Linux ), […]

Как WordPress санирует почтовый контент при сохранении? Или это не так?

Использует ли WordPress какую-либо санитарию данных для своего содержимого после сохранения из области администрирования? (например, дескрипторы <script> ). Или все, что он делает, это проверки на некоторые пользовательские возможности (например, current_user_can('edit_posts') ? Я спрашиваю, потому что я делаю плагин виджета: Он позволяет добавлять или редактировать HTML-контент, который позже будет показан в интерфейсе. Он может быть […]

Привилегированные эскалации ошибок в 2,9?

Существуют ли какие-либо известные ошибки эскалации привилегий в WP 2.9, чтобы быть осторожными?

Спам, введенный в общий кэш кэша w3

Я пытаюсь исправить сайт, на который был добавлен внешний спам. После осмотра выяснилось, что внешний контент (пока только html-реклама различных видов наркотиков, без скриптов) находилась на статических страницах, созданных общим кэшем w3. Как я могу узнать, какая часть ответственности за это? Очевидным ответом будет сам общий плагин кэша w3, но pgcache фактически можно записать любой […]

На новом сервере сайт получил взломан, разрешения немного странные? Пожалуйста помоги

Недавно я перешел на новый сервер, а через неделю сайт получил взломанный, все, что они сделали, это изменить файл index.php текущей темы, не имеющей большого значения. У меня было несколько мер предосторожности на месте, без имени администратора, всех последних версий, без проблем времени, безопасности .htaccess и т. Д. Я не хочу, чтобы это повторялось снова, […]

Что-то скрывает все html-объекты перед выходом в браузер

У меня неприятная проблема. На моем сайте WordPress что-то отменяет все html-объекты перед отправкой данных в браузер. Это происходит для всех следующих случаев: echo "&quot;XSS" print_r( htmlspecialchars( '"XSS' ) ); esc_html( '"XSS' ); // output in all cases is unescaped // im running version 3.4.1 with a bunch of plugins all disabled // error_log() is […]

Обновления безопасности до 3.3.2

Я знаю, что все обновления безопасности важны, но учитывая, насколько важно масштабировать от 1 до 10, нужно обновить его с 3.1.3 до 3.3.2. У меня есть некоторые сайты, которые нужно обновить, но хост меня заблокировал в старой версии php, которая ограничивает меня до 3.1.3. В настоящее время я запускаю версию 5.2.3 php. Благодарю, Барт

Безопасность пользовательских функций WordPress

У меня есть случай в моей панели администратора, где мне нужно вызвать мою собственную функцию, которая находится в моем собственном php-файле, с запросом GET. Эта функция фактически удаляет записи из базы данных. Таким образом, я хотел бы убедиться, что это невозможно вызвать от кого-либо другого, кроме пользователя admin. Каков наилучший способ сделать это? Обратите внимание, […]

проблема безопасности в WordPress?

Я установил wordpress на www.mysite.com/user и теперь предположим, что если кто-то является familiare с wordpress, он может легко получить доступ к моим материалам через www.mysite.com/user/members www.mysite.com/user/groups т. Д. Даже он может видеть все материалы с сайта www.mysite.com/user без входа на мой сайт. Есть ли способ предотвратить это. Что-то вроде отказа в доступе, если он не […]

Может ли администратор WordPress видеть пароли других пользователей?

Конечно, администратор WordPress может сбросить пароли других пользователей (в том числе и других администраторов). Однако может ли администратор WordPress видеть пароли других пользователей? Говоря по-разному, защищает ли WordPress зарегистрированных пользователей от недобросовестного администратора, наблюдающего за их паролями? Конечно, поскольку WordPress является открытым исходным кодом, я понимаю, что вредоносный администратор может взломать программное обеспечение, чтобы разглашать […]