Articles of security

Можно ли использовать admin-ajax.php в интерфейсе?

Я использую Filter Custom Fields & Taxonomies Light . Я узнал, что использует admin-ajax.php в интерфейсе для поиска AJAX, даже не admin-ajax.php в систему. Видеть: https://plugins.svn.wordpress.org/filter-custom-fields-taxonomies-light/trunk/profi-search-filter.php add_action( 'wp_head', 'sf_head', 1 ); function sf_head(){ $settings = get_option( 'search-filter-settings' ); if( !isset( $settings['style'] ) || $settings['style'] == '' ) wp_register_style( 'sf-style', SF_URL . 'res/style.css' ); else wp_register_style( […]

Использование nonce при загрузке сообщений с помощью AJAX

Это вопрос безопасности. У меня есть макет блога, в котором есть загрузчик внизу моих сообщений, и когда вы доберетесь до него, будет запущен вызов ajax, он вызовет функцию, которая будет отображать больше сообщений. Все это работает. Но меня беспокоит одно: следует ли использовать метод POST или GET ? GET не будет вызывать проблемы с nonce […]

что лучше всего отслеживать изменения, сделанные на сайте WordPress?

У меня есть сайт, на котором есть много администраторов. Каков лучший плагин или какие-либо другие функции, которые могли бы сделать эту работу? Любое предложение было бы большой помощью. Спасибо.

Как предотвратить плагины от обнюхивания / кражи других параметров плагинов?

Многие плагины нуждаются в конфигурации с конфиденциальными данными, такими как ключи API, пароли и т. Д. При реализации этих плагинов эти конфиденциальные данные хранятся с использованием таких функций, как update_option() и get_option() . Было бы тривиально написать троянский плагин, который предоставляет полезную функцию, но также выполняет множество get_option() с известными параметрами. Даже если это невозможно, […]

Почему Metabox использует Nonces?

Почему рекомендуется использовать метабокс админ-панели для использования nonces? Каждый пример, который я вижу в создании и сохранении данных метабокса, – это задействованные nonce, но в этом случае они не являются ненужными?

Существуют ли какие-либо угрозы безопасности при отправке данных атрибутов данных через AJAX?

Я написал простой плагин подписки автора. В основном, он показывает кнопку подписки, похожую на YouTube. Когда пользователь (вошедший в систему) нажимает на него, они подписываются на этого автора и получат уведомление по своим сообщениям. Я использую AJAX, чтобы кнопка не обновляла страницу, и атрибут data для отправки идентификатора автора моей функции, но я не уверен, […]

Когда я должен использовать и проверять nonce?

Я разрабатываю сайт WordPress, который отправляет несколько вызовов ajax из jquery в PHP и возвращает данные с PHP на jquery. Мне нужно знать, когда я должен использовать и проверять nonce?

Безопасность для удаления сообщения Admin

Мой код настолько прост, как когда администратор удаляет сообщение с помощью WordPress fucntion (PHP) и выполняет действия с jQuery <?php include('../../../../../../wp-config.php'); if(current_user_can('edit_posts')){ $id = $_POST['ID']; wp_delete_post($id); }else{die();} ?> Это мой код, что вы думаете о безопасности? достаточно ?

Защищен ли wp_login_form на небезопасной странице?

Я использую wp_login_form на незащищенном (http) сайте. Форма находится в модальном окне, так что вы можете войти с любой страницы на веб-сайте. Использует wp_login_form () таким образом безопасным? Спасибо, Саша

wp_nonce_field, отображаемое дважды

У меня есть wp_nonce_field в моем коде, но по какой-то причине он создает два экземпляра кода html, который я ожидаю, а другой – в начале записи. Является ли это правильным или я делаю что-то неправильно. Это создает ошибку валидатора. Одна вещь, которую я делаю немного по-другому, заключается в том, что форма выводится через короткий код, […]