Articles of Безопасность

Удаляет ли пользователи таблицы все логины?

Я загрузил сайт WordPress онлайн, но на настройку сервера требуется время. Тем временем я удалил таблицы «пользователи», чтобы хакеры не могли получить доступ к сайту / бэкэнд, пока я не смогу защитить сайт должным образом в будущем. Будет ли это работать или может быть взломан сайт через site.com/wp-login?

проблемы безопасности при использовании html data- * attribute для l10n?

Мне нужно передать локализованный многомерный объект javascript на страницу. Объект построен с использованием php и представляет некоторые настройки wp-темы. Я не могу найти способ использовать wp_localize_script для этого, так как он не будет анализировать многомерные массивы. Вместо этого я придумал решение использовать атрибут html5 data- * для этого, а затем с помощью jQuery получить его, […]

Выборочно Отключение PHP через .htaccess в корневом каталоге

Я читаю об обеспечении WordPress, и одним из распространенных методов является использование файла .htaccess, чтобы запретить выполнение PHP в wp-content и wp-includes . Затем я прочитал о другом хаке, в котором был использован файл backdoor, помещенный в корневой каталог. Это заставило меня задуматься о том, как расширить технику. Было бы целесообразно сделать что-то вроде этого: […]

На моем веб-сайте появляется слишком много отрывков домой, и это увеличивает показатель отказов

Мой сайт ежедневно получает около 800 прямых домашних архивов, в результате повысился показатель отказов моего веб-сайта. Обычно я получаю только около 30 домашних архивов в день. Эти хиты не из Google, поэтому как я могу их остановить. Фактически, в моей статистике WordPress Jetpack мои домашние архивы собираются около 800 в день, которые были только около […]

Оптимальная оценка приоритетов конечной точки RPC?

Я пытаюсь понять, как можно создать безопасную точку входа без загрузки всего WP-стека. Встроенная точка входа AJAX довольно медленная и фактически непригодна для использования на сайтах с большим количеством плагинов. Поэтому я должен что-то написать сам. Я нашел старый кодер под названием «wp_session» . В основном это база для обеспечения моей конечной точки. В настоящее […]

200 код возврата на «POST /wp-admin/admin-ajax.php», хотя он не вошел в систему

Я заметил следующую запись в журнале: 111.22.3.444 – – [13/Mar/2015:08:31:00 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 618 "https://cap5.nl/veiligheidstips-en-voorkom-hacken-van-je-wachtwoord/" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.115 Safari/537.36" Это веб-сайт моей компании и гарантирует, что никто (включая меня) не войдет в систему или не использует панель инструментов. Не следует ли / wp-admin / .. POST возвращать […]

Добавление ключей безопасности?

Я прочитал абзац в кодексе « Ключи безопасности» . Он предлагает пример – define( 'AUTH_KEY', 't`DK%X:>xy|eZ(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|' ); define( 'SECURE_AUTH_KEY', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj' ); define( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*~&0s;{k0<S(O:+f#WM+q|npJ-+P;RDKT:~jrmgj#/-,[hOBk!ry^' ); define( 'NONCE_KEY', 'FIsAsXJKL5ZlQo)iD-pt??eUbdc{_Cn<4!d~yqz))&B D?AwK%)+)F2aNwI|siOe' ); define( 'AUTH_SALT', '7T-!^i!0,w)L#JK@pc2{8XE[DenYI^BVf{L:jvF,hf}zBf883td6D;Vcy8,S)-&G' ); define( 'SECURE_AUTH_SALT', 'I6`V|mDZq21-J|ihb u^q0F }F_NUcy`l,=obGtq*p#Ybe4a31R,r=|n#=]@]c #' ); define( 'LOGGED_IN_SALT', 'w<$4c$Hmd%/*]`Oom>(hdXW|0M=X={we6;Mpvtg+Vo<$|#_}qG(GaVDEsn,~*4i' ); define( 'NONCE_SALT', 'a|#h{c5|P &xWs4IZ20c2&%4!c(/uG}W:mAvy<I44`jAbup]t=]V<`}.py(wTP%%' ); и примечание Вам не нужно […]

Безопасность: блокирование прямого доступа к файлам php

Я нашел 2 способа блокировать прямой доступ к php-файлам (хотя это не всегда необходимо, см. Https://wordpress.stackexchange.com/a/63004/60539 ). Первый: defined( 'ABSPATH' ) or die( 'No script kiddies please!' ); И другие: if ( ! empty( $_SERVER['SCRIPT_FILENAME'] ) && basename( __FILE__ ) == basename( $_SERVER['SCRIPT_FILENAME'] ) ) { die ( 'You do not have sufficient permissions to […]

Как изменить расположение wp-config.php в папку или 2 папки вверх?

Как изменить расположение wp-config.php в папку или 2 папки вверх? Я прочитал где-то его хорошее, чтобы вывести его из public_html, но поскольку im использует подпапку, тогда мне нужно поставить его на 2 уровня.

WordPress Brute Force Prevention

Я использую плагин безопасности WordFence для отслеживания попыток входа в систему, и я регулярно проверяю журналы. Я понимаю, что будет много попыток входа в систему с именем пользователя «admin». Больше всего попробуйте пару раз и оставьте сайт в покое. Однако у меня есть одна конкретная попытка, которая больше беспокоит. Я получаю несколько попыток входа в […]