«security» etiketlenmiş sorular

Wordpress blogumu korumaya çalışıyorum. Web'de değiştirmem table_prefixve gizlemem gereken bazı yayınları okudum wp-config.php. Ancak, anlamıyorum? Bir saldırgan benim ile ne yapabilirdi wp-config.php? Benim db konfigürasyonları vardır istemem ama saldırgan ihtiyaçlarımı DB_HOSTbenim db bağlanmak için kolay olsun ki (benim durumumda onun içinde değil örneğin, için:? define('DB_HOST', 'localhost');, Saldırganın benim db bağlanmak …

11 plugins  security  wp-config 

Başlangıç ​​durumu Kurmakta olduğum bir site için, yükleme / indirme işlemlerini güvenli hale getirme ve kullanıcı rollerine / yeteneklerine göre bunlara erişimi kısıtlama konusuna bakıyordum. Tabii ki, buradaki (genel) konuyla ilgili önceki soruların bazılarını okudum, referans nedenlerle bulduğum en önemli / ilginç sorular: Kullanıcı Oturum Açmazsa Yüklemeler Nasıl Korunur? Yüklenen …

11 uploads  attachments  security  private  content-restriction 

Bu muhtemelen bir noob sorusu ANCAK beni duymak - kazıyıcı (phpcurl kazıyıcılar vb.) Gibi şeylerden korumak için Nonce kullanmanın amacı değil mi? Ama benim Nonce'm belgenin başına şöyle yazdırılıyor: /* <![CDATA[ */ var nc_ajax_getpost = { ...stuff... getpostNonce: "8a3318a44c" }; /* ]]> */ Eğer hızlı bir kazıyıcı inşa edersem, o …

11 security  nonce 

Birkaç API kullanmak için arıyorum ve birçok anahtarları, gizli anahtarları ve çalışmak için gerekli şifreler ile geliyor. Bu bilgileri WordPress'te nerede saklayabilirsiniz? Herhangi birinin DB'nizi hackleyebileceğini varsaymak, WordPress'in bu bilgileri daha güvenli hale getirmesi için zaten var mı? Ayrıca, bir seçenekleri sayfasındaki tuşları güncellemem gerekecek şekilde bu tuşları sık sık …

11 security  options  password  private 

Güvenlik Uzmanlarının, birileri WordPress sitelerinin güvenliği hakkında endişe duyduklarında ilgilenmek için bazı özel adımlar önerdiği birçok WordPress Güvenliği blog makalesini okudum. Onlardan biri: WordPress Güvenlik İpuçları: Kullanılmayan gereksiz eklentileri kaldırın. Kod, yapı veya db bağlantılarına göre güvenlik açıklarına sahip bir eklenti, bir sitede etkinleştirilmiş olsa bile bir site için ölümcül …

10 plugins  security 

WP teması ve eklenti güvenliği hakkında birçok bilgiyi gözden geçiriyorum ve temalar ve eklentilerdeki özniteliklerden ve HTML değerlerinden kaçmanız gerektiği kavramını anladım. Hem standart hem de bir veya fonksiyonun içinde gördüm bloginfo()ve echo get_bloginfo()kullandım .esc_html()esc_attr() Genesis ve _s , Automattic'in temel teması bu değerlerden kaçar, ancak WP'nin kendi kodeks tema …

10 security  options  escaping  bloginfo 

HTTP API üzerinden yapılan herhangi bir HTTP isteği URI'sini filtrelemek istiyorum. Kullanım örnekleri: WordPress güncelleme kontrolü http://api.wordpress.org/core/version-check/1.6/ adresine gider , ancak https://api.wordpress.org/core/version-check/1.6/ de çalışır ve istiyorum bunu her zaman kullanmak için. Yeni WordPress dosyası http://wordpress.org/wordpress-3.4.2.zip adresinden alınır , ancak https://wordpress.org/wordpress-3.4.2.zip de çalışır. Bazen isteklerde hata ayıklamak ve geçici olanları yerel …

10 filters  urls  security  updates  http-api 

Yeni bir eklenti yayınladı: Başka Parola Yok Şu anda beta olarak etiketledim çünkü bir platforma giriş hassas bir konudur ve güvenlik açıkları olabilecek bir şey yayınlamak istemiyorum. İşte benim sorgu: Güvenli mi? Güvenliği sağlamak için aşağıdakileri yaptım: Kullanıcı adı / şifre hiçbir zaman ileri geri verilmez, yalnızca benzersiz karma. Karma …

10 plugins  security 

Sadece kendi sunucumda WP çalışıyor. Ben işleri daha fazla kilitlemeye çalışmıyorum. Db kullanıcısı benim WP db izinleri olmalıdır?

10 mysql  security  permissions  privileges 

Wordpress'ten yeniyim ve kamu dışı kaynakları gizleyerek wordpress multisite güvenliğini artırmak istiyorum. wp-admin, wp-config vb. Ayarım çalışıyor gibi görünüyor, ancak bu ayarın bir şeyleri kırabileceğini bilmiyorum (temel özellikler, popüler eklenti, vb.) Ayarlarım genel anlamda iyi mi? Ayarlarım gerçek güvenliği artırır mı yoksa zamanımı boşa mı harcıyorum? httpd-vhosts.conf (apache) # Disallow …

9 htaccess  security  configuration 

Sanırım burada güvenlik bilgisi eksikliğini açığa vuruyorum, ama bir tuz olması yeterli olmamalı mı? Neden dört farklı tuz gerekli? define('AUTH_SALT', 'z(ly|p-aeKf^I~OfOUUIL&Y?C5Z.iu|L}kY%dvclq.h9n`)MlZe6'); define('SECURE_AUTH_SALT', 'NIY8g>=l9y~eV~WLu 3n>UG#3wSl4YfT%;z9`7m9Gk/k_Vn4`ej8'); define('LOGGED_IN_SALT', '<-[R@, I;m%n*9G?CU1a:))pEAa/r5X5@pT`cO2H|c2&x~G<p*3T:-5v<N'); define('NONCE_SALT', 'm(-0:+r0a%z~a:2F;]-geM$9~!4j(q3QdpkmB7;P+ZYYw7Rdy{97fS'); (Endişelenmeyin, değerler karıştırılır ve yerel bir sitedir.)

9 security 

Birkaç hafta boyunca Limit Giriş Denemeleri kurduk ve wp-admin / wp-login'te gerçekleşen kaba kuvvet girişimlerinin sayısı oldukça şaşırtıcı. İlk denemelerin hepsi sitemizde olmayan "Yönetici" kullanıcı adıyla yapıldı, bu yüzden bunu bir sıkıntı olarak gördüm, ancak çok fazla tehdit oluşturmadım. Ancak, şimdi diğer adlandırılmış yönetici kullanıcı hesaplarında meydana gelen kilitlenmeleri görüyoruz …

9 admin  wp-admin  security