คำถามติดแท็ก security

สร้างความเข้มแข็งให้กับธีมปลั๊กอินและการติดตั้งคอร์เพื่อป้องกันการบุกรุก

13
ขั้นตอนในการซ่อนความจริงของไซต์กำลังใช้ WordPress อยู่ใช่ไหม?
ฉันมีเว็บไซต์ที่เราพยายามที่จะรอบคอบเกี่ยวกับความจริงที่ว่าเรากำลังใช้ WordPress ขั้นตอนใดที่เราสามารถทำได้เพื่อทำให้เห็นได้ชัดน้อยลง แก้ไข - หมายเหตุความปลอดภัยที่สำคัญ: โปรดเข้าใจว่าการทำสิ่งนี้เป็นไปไม่ได้อย่างสมบูรณ์แบบตามคำตอบของ Mark ดังนั้นอย่าพึ่งพาสิ่งนี้เป็นมาตรการรักษาความปลอดภัย

8
การย้าย wp-config ภายนอกเว็บรูทมีประโยชน์จริงๆหรือไม่?
หนึ่งในการรักษาความปลอดภัยที่พบมากที่สุดปฏิบัติที่ดีที่สุดวันนี้ดูเหมือนว่าจะมีการเคลื่อนย้ายwp-config.phpไดเรกทอรีหนึ่งสูงกว่ารากเอกสาร vhost ของ ฉันไม่เคยพบคำอธิบายที่ดี แต่ฉันคิดว่ามันจะลดความเสี่ยงของสคริปต์ที่เป็นอันตรายหรือติดไวรัสภายใน webroot ไม่ให้อ่านรหัสผ่านฐานข้อมูล แต่คุณยังต้องให้ WordPress เข้าถึงได้ดังนั้นคุณต้องขยายopen_basedirเพื่อรวมไดเรกทอรีด้านบนรูทเอกสาร ไม่เพียง แต่เอาชนะวัตถุประสงค์ทั้งหมดและยังอาจเปิดเผยบันทึกเซิร์ฟเวอร์ข้อมูลสำรองและอื่น ๆ แก่ผู้โจมตีด้วย หรือเป็นเทคนิคที่พยายามป้องกันสถานการณ์ที่wp-config.phpจะแสดงเป็นข้อความธรรมดาสำหรับทุกคนที่ร้องขอhttp://example.com/wp-config.phpแทนที่จะถูกแยกวิเคราะห์โดยโปรแกรม PHP? ดูเหมือนว่าจะเกิดขึ้นได้ยากมากและจะไม่เกินความเสียเปรียบของการเปิดเผยบันทึก / การสำรองข้อมูล / ฯลฯ ไปยังคำขอ HTTP อาจเป็นไปได้ไหมที่จะย้ายออกนอกรูทเอกสารในการตั้งค่าโฮสติ้งบางแบบโดยไม่ต้องเปิดเผยไฟล์อื่น แต่ไม่ใช่ในการตั้งค่าอื่น สรุป: หลังจากมีการพูดคุยซ้ำ ๆ กันในเรื่องนี้สองคำตอบก็ปรากฏว่าฉันคิดว่าควรได้รับการพิจารณาว่าเป็นเรื่องจริง อาโรนอดัมส์ทำให้เป็นกรณีที่ดีในความโปรดปรานของการย้าย WP-config และ chrisguitarguymakes ดีกรณีกับมัน นี่คือคำตอบสองข้อที่คุณควรอ่านหากคุณยังใหม่ต่อเธรดและไม่ต้องการอ่านสิ่งทั้งหมด คำตอบอื่น ๆ อาจจะซ้ำซ้อนหรือไม่ถูกต้อง

12
ตรวจสอบว่าฉันลบแฮ็ค WordPress ออกทั้งหมด
บล็อก WordPress เพื่อความสนุกของฉันที่http://fakeplasticrock.com (ใช้งาน WordPress 3.1.1) ถูกแฮก - มันแสดงให้เห็น<iframe>บนทุกหน้าดังนี้: <iframe src="http://evilsite.com/go/1"></iframe> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> ฉันทำสิ่งต่อไปนี้ อัปเกรดเป็น 3.1.3 ผ่านระบบอัพเกรด WordPress ในตัว ติดตั้งExploit Scanner (คำเตือนที่สำคัญจำนวนมากเกี่ยวกับไฟล์ที่ผิดปกติ) และAntiVirus (สิ่งนี้แสดงให้เห็นว่าเป็นสีเขียวและสะอาดดังนั้นฉันจึงถอนการติดตั้งและลบออกหลังจากใช้งาน) เปลี่ยนรหัสผ่าน MySQL เปลี่ยนรหัสผ่านผู้ใช้ WordPress ทั้งหมด เชื่อมต่อผ่าน FTP และดาวน์โหลดทั้งระบบไฟล์ (ไม่ใหญ่มากนี่เป็นโฮสติ้งที่ใช้ร่วมกับ WordPress เท่านั้น) ระบบไฟล์แตกต่างจาก ZIP อย่างเป็นทางการของ WordPress 3.1.3 …
105 security  hacked 

3
วิธีป้องกันการอัพโหลดหากผู้ใช้ไม่ได้ลงชื่อเข้าใช้
ฉันใช้ wordpress สำหรับเว็บไซต์ส่วนตัวที่ผู้ใช้อัปโหลดไฟล์ ฉันใช้ "ส่วนตัว WordPress" เพื่อป้องกันการเข้าถึงเว็บไซต์หากผู้ใช้ไม่ได้เข้าสู่ระบบ ฉันต้องการทำสิ่งเดียวกันกับไฟล์ที่อัพโหลดในโฟลเดอร์อัพโหลด ดังนั้นหากผู้ใช้ไม่ได้เข้าสู่ระบบพวกเขาจะไม่สามารถเข้าถึง: https://xxxxxxx.com/wp-content/uploads/2011/12/xxxxxxx.pdf หากพวกเขาพยายามเข้าถึง แต่พวกเขาไม่ได้เข้าสู่ระบบพวกเขาควรจะ ถูกเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบเช่น ฉันพบปลั๊กอินที่เรียกว่าไฟล์ส่วนตัว แต่การปรับปรุงครั้งล่าสุดในปี 2009 และดูเหมือนว่าจะใช้งานไม่ได้กับ wordpress ของฉัน ใครรู้วิธีการใด ๆ วิธี Hotlinking เพียงพอที่จะปกป้องสิ่งนี้ได้อย่างไร ฉันก็พบวิธีนี้: # BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteCond %{REQUEST_URI} ^.*uploads/private/.* RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in.*$ [NC] RewriteRule . /index.php [R,L] RewriteRule ^index\.php$ - [L] RewriteCond …

11
ฉันสามารถเปลี่ยนชื่อโฟลเดอร์ wp-admin ได้หรือไม่
เป็นไปได้ไหมที่จะเปลี่ยนชื่อโฟลเดอร์ wp-admin ฉันรู้ว่าฉันสามารถเปลี่ยนชื่อได้ แต่เว้นแต่จะได้รับการสนับสนุนจากสิ่งต่าง ๆ มากมายที่รหัสจะทำลาย ถ้าฉันใช้ชื่อโฟลเดอร์ที่กำหนดเองมันจะทำให้ปลอดภัยขึ้นเล็กน้อยความปลอดภัยจากความสับสนและทั้งหมดนั้น

5
รับรายชื่อบทบาทที่มีอยู่ในปัจจุบันบนไซต์ WordPress หรือไม่?
เมื่อเขียนปลั๊กอิน WordPress มักจะต้องตั้งค่าตัวเลือกสำหรับบทบาทบนไซต์ที่มีการเข้าถึงฟังก์ชันการทำงานหรือเนื้อหาบางอย่าง ในการทำเช่นนี้ปลั๊กอิน dev จำเป็นต้องดึงข้อมูลรายการบทบาทที่มีอยู่บนไซต์เพื่อใช้ในตัวเลือก เนื่องจากสามารถสร้างบทบาทที่กำหนดเองได้เราจึงไม่สามารถถือว่าบทบาทเริ่มต้นเป็นบทบาทที่มีอยู่เท่านั้น วิธีที่ดีที่สุดในการดึงรายการคืออะไร

3
ฉันควรกังวลเรื่องความปลอดภัยใดเมื่อตั้งค่า FS_METHOD เป็น“ โดยตรง” ใน wp-config
ฉันเพิ่งมีปัญหาที่ฉันไม่สามารถติดตั้งปลั๊กอิน WP Smush Pro ได้เนื่องจากฉันไม่มีตัวเลือกการติดตั้งด้วยตนเองหรือการติดตั้งด้วยคลิกเดียว ผมมาในโพสต์นี้wp-config.phpซึ่งแนะนำให้ปรับเปลี่ยนการตั้งค่าใน ฉันได้เพิ่มการตั้งค่าที่แนะนำ แต่สิ่งที่สำคัญที่สุดคือ: define('FS_METHOD', 'direct'); สิ่งที่ผมอยากจะรู้ว่าสิ่งที่เป็นกังวลจริงผมควรจะมีรอบการตั้งค่าFS_METHODเพื่อdirect? มีทางเลือกอื่นในการติดตั้งปลั๊กอินหรือไม่ นี่คือสิ่งที่เอกสารทางการได้กล่าว: FS_METHOD บังคับให้วิธีการระบบแฟ้ม ควรเป็น "โดยตรง", "ssh2", "ftpext" หรือ "ftpsockets" โดยทั่วไปคุณควรเปลี่ยนแปลงสิ่งนี้หากคุณประสบปัญหาการอัพเดท หากคุณเปลี่ยนและไม่ช่วยให้เปลี่ยนกลับ / ลบ ภายใต้สถานการณ์ส่วนใหญ่การตั้งค่าเป็น 'ftpsockets' จะทำงานหากวิธีที่เลือกโดยอัตโนมัติไม่ทำงาน (การตั้งค่าหลัก) บังคับโดยตรงให้ใช้คำร้องขอ Direct File I / O จากภายใน PHP ซึ่งเต็มไปด้วยการเปิดปัญหาด้านความปลอดภัยบนโฮสต์ที่กำหนดค่าไม่ดีซึ่งจะถูกเลือกโดยอัตโนมัติเมื่อเหมาะสม


1
คุณควร จำกัด การเข้าถึงไฟล์ธีมโดยตรงหรือไม่
ฉันพบตัวอย่างต่อไปนี้ในธีมเป็นครั้งคราว: if ( ! defined('ABSPATH')) exit('restricted access'); มันเป็นจุดเริ่มต้นของไฟล์ PHP (ทั้งหมดหรือไม่) ในรูปแบบและควรป้องกันการเข้าถึงไฟล์โดยตรงจากแหล่งที่เลวร้าย ฉันเห็นว่านี่ไม่รวมอยู่ในยี่สิบหรือสิบเอ็ดและฉันไม่เคยเห็นมันแนะนำในเอกสาร WordPress อย่างเป็นทางการ ดูเหมือนจะเป็นความคิดที่ดีสำหรับฉัน แต่ฉันก็ไม่รู้เกี่ยวกับความปลอดภัยพอที่จะตัดสินและไม่สามารถหาได้มากนักจาก Google นี่คือสิ่งที่ฉันควรมีในธีมที่กำหนดเองของฉันหรือไม่ ถ้าเป็นเช่นนั้นควรเป็นไฟล์ PHP ทั้งหมดหรือบางไฟล์?

4
WordPress 4.7.1 REST API ยังคงเปิดเผยผู้ใช้
ฉันได้อัพเกรด WordPress เป็น4.7.1แล้วหลังจากนั้นฉันพยายามระบุผู้ใช้ผ่าน REST API ซึ่งควรแก้ไข แต่ฉันสามารถดึงผู้ใช้ได้ https://mywebsite.com/wp-json/wp/v2/users เอาท์พุท: [{"id":1,"name":"admin","url":"","description":"","link":"https:\/\/mywebsite\/author\/admin\/","slug":"admin","avatar_urls":{"24": ... การเปลี่ยนแปลงจากเวอร์ชั่นล่าสุด: REST API เปิดเผยข้อมูลผู้ใช้สำหรับผู้ใช้ทั้งหมดที่สร้างโพสต์ประเภทโพสต์สาธารณะ WordPress 4.7.1 จำกัด สิ่งนี้เฉพาะโพสต์ประเภทที่ระบุว่าควรจะแสดงใน REST API รายงานโดย Krogsgard และ Chris Jean หลังจากติดตั้งปลั๊กอินDisable REST APIดูเหมือนว่าทุกอย่างทำงานได้ดี แต่ฉันไม่ชอบใช้กับปลั๊กอินเล็ก ๆ น้อย ๆ ทุกอย่าง เอาต์พุตหลังจากใช้ปลั๊กอินคือ: {"code":"rest_cannot_access","message":"Only authenticated users can access the REST API.","data":{"status":401}} ฉันจะแก้ไขปัญหานี้ได้อย่างไรโดยไม่ต้องใช้ปลั๊กอินหรือทำไมถึงแม้หลังจากอัพเกรดสไตล์นี้แล้ว แก้ไข 30.9.2017 ฉันตระหนักว่ามีความขัดแย้งระหว่างcontact 7ปลั๊กอินDisable REST APIและที่จะทำให้คุณมี401 …

3
อะไรคือวิธีที่ง่ายที่สุดในการหยุด WP ไม่ให้ออกจากระบบ
หลังจากระยะเวลาหนึ่ง WP ออกจากระบบผู้ใช้ทั้งหมดและบังคับให้พวกเขากลับเข้าสู่ระบบอีกครั้ง สำหรับสภาพแวดล้อมการพัฒนาบนเครื่องท้องถิ่นของฉันสิ่งนี้น่ารังเกียจและไม่จำเป็นอย่างยิ่ง มีวิธีที่ขับเคลื่อนด้วย API ในการปิดการใช้งานการล็อกเอาต์อัตโนมัติหรือไม่? เป็นการดีที่ฉันต้องการสิ่งที่ฉันสามารถเพิ่มwp-config.phpพร้อมกับการตั้งค่าอื่น ๆ ที่เกี่ยวข้องกับการตั้งค่า dev ปลั๊กอินจะ overkill สำหรับฉันดังนั้นฉันจะไม่คิดว่ามันเป็นคำตอบ แต่คุณอาจโพสต์มันเป็นตัวเลือก

4
มีวิธีการเปลี่ยนชื่อหรือซ่อน wp-login.php หรือไม่?
มีวิธีใดในการเปลี่ยน url ของ wp-login.php ดูเหมือนว่าไม่ปลอดภัยที่ทุกคนที่เคยใช้ Wordpress สามารถดูได้อย่างง่ายดายว่าไซต์ของคุณใช้งานอยู่หรือไม่และไปที่หน้าเข้าสู่ระบบ เคยมีปลั๊กอินที่เรียกว่า "การเข้าสู่ระบบ Stealth" แต่ไม่ได้อัปเดต (และด้วยเหตุนี้เราลังเลที่จะพึ่งพาปลั๊กอิน)
26 login  security 


13
แนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดสำหรับปลั๊กอิน WordPress และธีมคืออะไร? [ปิด]
ตามที่เป็นอยู่ในปัจจุบันคำถามนี้ไม่เหมาะสำหรับรูปแบบคำถาม & คำตอบของเรา เราคาดหวังคำตอบที่จะได้รับการสนับสนุนจากข้อเท็จจริงการอ้างอิงหรือความเชี่ยวชาญ แต่คำถามนี้จะเรียกร้องให้มีการอภิปรายโต้แย้งโต้แย้งหรือการอภิปรายเพิ่มเติม หากคุณรู้สึกว่าคำถามนี้สามารถปรับปรุงและเปิดใหม่ได้โปรดไปที่ศูนย์ช่วยเหลือเพื่อขอคำแนะนำ ปิดให้บริการใน7 ปีที่ผ่านมา ตามที่แนะนำในคำถามนี้ฉันกำลังเพิ่มหัวข้อนี้เป็นคำถามใหม่สำหรับการอภิปรายชุมชน / การลงคะแนนเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดสำหรับความปลอดภัยของปลั๊กอิน / ธีม นี่คือรายการตรวจสอบเริ่มต้นตามรายการตรวจสอบความปลอดภัยของข้อมูล (รายการที่กำลังตรวจสอบความปลอดภัย) ที่ใช้สำหรับตรวจสอบธีม (หลักการไม่ควรต่างไปจากปลั๊กอินมากกว่าชุดรูปแบบ) หากคุณต้องการตรวจสอบชุดรูปแบบที่มีหน้าการตั้งค่าชุดรูปแบบที่ปลอดภัยและเข้ารหัสอย่างแน่นหนาให้ตรวจสอบชุดรูปแบบนี้: http://wordpress.org/extend/themes/coraline

2
wp_verify_nonce เทียบกับ check_admin_referer
ความแตกต่างคือสิ่งที่ฉันควรใช้ ฉันรู้ว่า wp_verify_nonce ตรวจสอบการ จำกัด เวลาและ check_admin_referer ฉันคิดว่าการโทร wp_verify_nonce เช่นเดียวกับการตรวจสอบเซ็กเมนต์ URL ของผู้ดูแลระบบ แต่ฉันสับสนนิดหน่อยที่ฉันควรใช้และเมื่อใด ขอบคุณสำหรับความชัดเจน
21 admin  security  nonce 

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.