Articles of безопасность

Проблема безопасности с параметрами «paged» и «posts_per_page», взятыми непосредственно из запроса POST?

Мне было интересно, создает ли это риск для безопасности: $current_page = $_POST['page']; $posts_per_page = $_POST['posts_per_page']; $result = new \WP_Query([ 'posts_per_page' => $posts_per_page, 'paged' => ++$current_page, 'post_type' => 'post' ]); Поскольку я беру posts_per_page и posts_per_page непосредственно из запроса POST xhr, кто-то может вводить любые значения, которые они хотят. Я вижу здесь, что posts_per_page и paged […]

Как обфускать wp-config.php или код

В файле wp-config.php он четко показывает имя пользователя и пароль базы данных Итак, как обфускать wp-config.php или код. Серверное программное обеспечение для поддержки страниц: ioncube, php encoder или zenguard, но я не знаю, как напрямую запутать wp-config.php. Пример: Вопрос: Coder не хочет, чтобы кто-то снова получал код и настраивал веб-сайт на другом сервере. Но кодер […]

Загрузка формата .webm в WordPress приводит к нарушению правил безопасности и сбою

Я не могу загрузить формат .webm видео в WordPress. Это после добавления: AddType video / webm .webm в: файл .htaccess (в корневой папке установки WordPress) обработчик типа mime нашего сервера apache (через наш сайт cpanel) Насколько я помню, сначала это сообщение мгновенно дало мне ошибку, оно даже начнет ее загружать. Теперь он загружает его полностью, […]

Любые известные ошибки, которые могут привести к исчезновению таблицы wp_users?

Я управляю несколькими веб-сайтами, поддерживающими WordPress. Один из этих сайтов является новым и работает нетронутым, так как он был создан месяц назад. Сегодня я попытался войти в систему, но не смог этого сделать – все попытки входа в систему были отклонены. После некоторого расследования я узнал, что таблица wp_users отсутствует. Все остальные таблицы присутствовали, и […]

Побочные эффекты запрета * .php запросов в производственной среде?

Для обеспечения безопасности в рабочей среде компания, с которой я работаю, удалила весь каталог wp-admin/ и собирается запретить все вызовы *.php файлов с 403 Forbidden ошибкой 403 Forbidden HTTP. Есть ли подводные камни для этого? (За исключением очевидной вещи, которая теперь позволяет администрировать или использовать другие функциональные возможности). Существуют ли какие-либо подсистемы на бэкэнд, которые […]

Для автоматического входа в систему требуется обновление страницы

У меня есть простой автозапуск, который выглядит следующим образом: function auto_login() { if (!is_user_logged_in()) { //Removed some code for brevity. $user = get_userdatabylogin($domainName); if ($user != null) { //Set the auth cookie. wp_set_auth_cookie($user->ID, false, null); //Set the current user (this will also set WP objects at the global level) wp_set_current_user($user->ID); } } } add_action('init', 'auto_login'); […]

Слишком много попыток входа в систему

Начиная с недели или двух я продолжаю получать следующее автоматическое сообщение электронной почты, отправленное с моего веб-сайта WordPress, и я хотел бы знать, указывает ли он на дыру в безопасности, и если я могу что-то сделать, чтобы остановить его: «Хост, 79.148.238.85 (вы можете проверить хост на http://ip-adress.com/ip_tracer/79.148.238.85 ), был заблокирован с сайта WordPress по адресу […]

Изменение идентификатора администратора для базы данных

Правильно ли или нормально менять идентификатор пользователя admin по умолчанию от 1 до любого другого числа, как это сделано с помощью плагина better-wp-security для wordpress для лучшей безопасности? что лучше всего подходит для безопасности администратора. благодаря

Нужно ли нам избегать данных, которые мы получаем из параметров темы?

Я создаю тему WordPress, которую я надеюсь продать на Themeforest. Теперь я много знаю об экранировании введенных пользователем данных с помощью таких функций, как esc_html, esc_url и т. Д., И я использую их в шаблоне комментариев и в нескольких других местах в моей теме. Я не уверен в том, должен ли я использовать эти функции […]

Как указать то же сообщение об ошибке, когда используется неправильный пароль или неправильное имя пользователя?

По соображениям безопасности мой экземпляр WordPress должен давать такое же сообщение об ошибке, когда используется неправильный пароль или неправильное имя пользователя. Как это можно сделать?