Articles of Безопасность

WordPress Brute Force Prevention

Я использую плагин безопасности WordFence для отслеживания попыток входа в систему, и я регулярно проверяю журналы. Я понимаю, что будет много попыток входа в систему с именем пользователя «admin». Больше всего попробуйте пару раз и оставьте сайт в покое. Однако у меня есть одна конкретная попытка, которая больше беспокоит. Я получаю несколько попыток входа в […]

Переименование wp-admin без жесткого кодирования. Это действительно возможно?

Я хотел бы переименовать мою папку wp-admin из-за некоторых проблем безопасности. Это действительно возможно? Чем меньше он выглядит / строится как стандартный WP, тем сложнее атаковать известные уязвимости. Возможность переименовать эти каталоги может помочь остановить эксплоит мертвым на своих дорогах. Отто упомянул в этой теме его возможное использование фильтра «admin_url». Это действительно возможно? Если да, […]

Использует ли пользовательский запрос_var дыру безопасности?

Скажем, я поместил следующий код в functions.php function add_my_query_vars($qvars) { $qvars[] = "new_var"; return $qvars; } add_filter('query_vars', 'add_my_query_vars'); Если кто-то запрашивает my.site.com/?new_var=[MALICIOUS CODE] , могут ли они нанести какой-либо ущерб? Если нет, почему бы и нет? Редактирование для ясности : я знаю, что ввод пользователя должен считаться вредным. Мой вопрос заключается в том, будет ли […]

Файл конфигурации без ключей.?

Я работаю над сайтом для тех, у кого нет ключей в файле wp-config. Разве это не серьезная проблема? Я знаю, что могу сгенерировать их, но мне интересно, есть ли у этого побочные эффекты. Кроме того, это в настоящее время риск для безопасности, потому что сайт был взломан. Пример: define('AUTH_KEY', 'put your unique phrase here'); define('SECURE_AUTH_KEY', […]

Правильный и безопасный способ включения php-контента на мою страницу

У меня есть сайт, на котором я использую [insert_php], чтобы вставить php-контент на мою страницу. Я просто использую php include внутри insert_php для включения моего сложного скрипта php. Некоторое время назад я задал вопрос и получил высокую оценку за это, используя insert_php. Каков правильный способ сделать это? Позвольте мне объяснить, что у меня есть: я […]

Скрыть обнаружение имени пользователя

Как остановить утечку имени пользователя? Чтобы объяснить, я протестировал свой сайт WordPress на http://wprecon.com и обнаружил, что мое имя пользователя (которое я изменил) администратора было обнаружено. Перечисление пользователя возможно путем запроса параметра автора и циклического перехода через идентификатор пользователя /? Author = 1 Изменение пользователя admin рекомендуется во всех руководствах по безопасности, но, похоже, нетрудно […]

Должен ли я сталкиваться с проблемами безопасности, если я изменяю роль по умолчанию для Contributor

Я создаю сайт сообщества, например medium.com. Вместо того, чтобы создавать внешнюю форму, я собираюсь изменить роль по умолчанию в роли Contributor или разрешить роль абонента вставлять сообщения / CPT …. Мне нужно знать, что мне приходится сталкиваться с проблемами безопасности?

Блокировать доступ к wp-admin

Я пытаюсь использовать файл .htaccess для блокировки доступа к папке wp-admin. Я прочитал документ Brute Force Attacks doc ( https://codex.wordpress.org/Brute_Force_Attacks ), и я добавил блок ниже, используя мои ip-адреса, в файл .htaccess и поместил его в wp-admin папка: # Block access to wp-admin. ErrorDocument 401 default order deny,allow allow from xxxx allow from yyyy allow […]

Изменение префикса таблицы для существующего сайта WordPresss

Надеюсь, кто-то может помочь с префиксом таблицы WordPress для уже созданного сайта. Каков наилучший подход при изменении существующего префикса таблицы в обоих файлах DB и wp-config, чтобы отразить новый префикс таблицы. На самом деле, это больше требует БД. Есть приличный плагин, или кто-то может указать мне на необходимые шаги. Просто волновался, что я могу вызвать […]

Безопасно ли вручную подписывать пользователя при использовании AJAX?

Я добавляю модный вход в мою тему. Самый прямой маршрут – создать шаблон и включить wp_login_form(); в этом. Это загрузит основной логин, который можно настроить позже, используя CSS или jQuery. Однако для проверки учетных данных требуется перезагрузка страницы. Моя мысль заключалась в том, чтобы отправить имя пользователя и хешированный пароль с помощью запроса AJAX и […]