คำถามติดแท็ก security

ฉันพยายามที่จะรักษาความปลอดภัยบล็อก WordPress ของฉัน ผมอ่านโพสต์ในเว็บบางที่ฉันควรเปลี่ยนของฉันและซ่อนของฉันtable_prefix wp-config.phpอย่างไรก็ตามฉันไม่ได้รับมัน? ผู้โจมตีสามารถทำอะไรกับฉันได้wp-config.phpบ้าง ฉันหมายถึงมีการกำหนดค่า db ของฉัน แต่ผู้โจมตีต้องการDB_HOSTตัวอย่างของฉันซึ่งไม่ง่ายที่จะได้รับเพื่อเชื่อมต่อกับฐานข้อมูลของฉันได้อย่างไร (ในกรณีของฉันมัน: define('DB_HOST', 'localhost');ซึ่งผู้โจมตีไม่สามารถใช้เพื่อเชื่อมต่อกับฐานข้อมูลของฉัน ) หรือฉันจะหายไปฏ? ฉันขอขอบคุณคำตอบของคุณ!

11 plugins  security  wp-config 

สถานการณ์เริ่มต้น สำหรับเว็บไซต์ที่ฉันตั้งค่าฉันกำลังมองหาพื้นที่ทั้งหมดของการรักษาความปลอดภัยอัพโหลด / ดาวน์โหลดและ จำกัด การเข้าถึงพวกเขาตามบทบาท / ความสามารถของผู้ใช้ แน่นอนฉันได้อ่านคำถามก่อนหน้านี้บางส่วนที่เกี่ยวข้องกับหัวข้อ (ทั่วไป) ที่นี่เพื่อเหตุผลในการอ้างอิงเหตุผลที่สำคัญที่สุด / น่าสนใจที่ฉันพบ: วิธีป้องกันการอัพโหลดหากผู้ใช้ไม่ได้ลงชื่อเข้าใช้ วิธี จำกัด การเข้าถึงไฟล์ที่อัพโหลด? การ จำกัด การเข้าถึงไฟล์ภายในโฟลเดอร์เฉพาะ จะทำให้การอัปโหลดสื่อเป็นส่วนตัวได้อย่างไร? การรวมสคริปต์ดาวน์โหลดของ PHP เข้าที่ หมายเหตุเพิ่มเติม โดยทั่วไปแล้วไม่ใช่ความคิดที่ดีที่จะปรับปรุงความปลอดภัยของการติดตั้ง wordpress ของคุณ - เช่นการป้องกันของคุณwp-config.php- มีหลายสิ่งที่คุณสามารถทำได้และควรทำ มีข้อมูลมากมายเกี่ยวกับวิธีการทำ ฉันอยู่ในบริบทของคำถามนี้ส่วนใหญ่กังวลเกี่ยวกับการอัปโหลด / ดาวน์โหลดของฉัน การอัปโหลด Wordpress ไม่ปลอดภัยทุกคนสามารถเรียกดูuploadsโฟลเดอร์ได้เว้นแต่คุณจะป้องกันด้วย.htaccess: Options All -Indexes .htaccessไฟล์จะต้องมีการวางไว้ภายในuploadsโฟลเดอร์ แต่นั่นไม่ใช่การรักษาความปลอดภัยจริงๆมันแค่ทำให้การค้นหาไฟล์ทำได้ยากขึ้น นอกจากนี้คุณสามารถป้องกันไม่ให้hotlinkingมีการ จำกัด การเข้าถึงตามปกติreferrer- แม้ว่ามันจะแตกต่างกันเล็กน้อย แต่ฉันคิดว่าฉันพูดถึงมัน แต่ฉันไม่ได้อธิบายเพิ่มเติมคุณสามารถค้นหาข้อมูลมากมายเกี่ยวกับเรื่องนั้น แน่นอนว่ามีความเป็นไปได้ที่จะทำให้โพสต์เป็นส่วนตัวหรือสร้างประเภทโพสต์ที่กำหนดเองพร้อมกับไฟล์เทมเพลตที่เหมาะสมเพื่อให้โพสต์ประเภทนั้นเป็นส่วนตัว …

11 uploads  attachments  security  private  content-restriction 

อาจเป็นคำถาม noob แต่ได้ยินฉันออก - ไม่ใช่จุดของการใช้ Nonce เพื่อป้องกันจากสิ่งต่าง ๆ เช่น scrappers (phpcurl scrappers ฯลฯ )? แต่ Nonce ของฉันพิมพ์ออกมาในหัวของเอกสารดังนี้: /* <![CDATA[ */ var nc_ajax_getpost = { ...stuff... getpostNonce: "8a3318a44c" }; /* ]]> */ ดังนั้นถ้าฉันสร้าง scrapper อย่างรวดเร็วฉันก็จะได้ค่า nonce จากหน้านั้นแล้วใช้มันใน POST ของฉัน ... ทำให้การออกกำลังกายทั้งหมดของการใช้ Nonce ไร้ประโยชน์ ... ฉันหายไปนี่อะไร

11 security  nonce 

ฉันต้องการใช้ API สองสามตัวและหลายคนมาพร้อมกับรหัสคีย์ลับและรหัสผ่านที่จำเป็นในการทำงาน WordPress เก็บข้อมูลนั้นไว้ที่ไหน? สมมติว่าทุกคนสามารถแฮ็คฐานข้อมูลของคุณมีอยู่แล้วสำหรับ WordPress เพื่อให้การบันทึกข้อมูลที่ปลอดภัยมากขึ้น? พิจารณาความสามารถในการเปลี่ยนคีย์เหล่านี้บ่อยๆดังนั้นฉันจะต้องอัปเดตคีย์บนหน้าตัวเลือก UPDATE Mossack Fonseca Breach - ปลั๊กอินการปฏิวัติของ WordPress Slider สาเหตุที่เป็นไปได้ เอกสารปานามา: แฮ็คอีเมลผ่าน WordPress, เอกสารสามารถแฮกผ่าน Drupal

11 security  options  password  private 

ฉันได้อ่านบทความบล็อก WordPress Security หลายฉบับที่ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำขั้นตอนพิเศษบางอย่างที่ต้องระวังเมื่อมีคนกังวลเรื่องความปลอดภัยของเว็บไซต์ WordPress หนึ่งในนั้นคือ: เคล็ดลับความปลอดภัยของ WordPress: ลบปลั๊กอินที่ไม่จำเป็นออกซึ่งไม่ได้ใช้งานอยู่ ปลั๊กอินที่มีช่องโหว่ด้านความปลอดภัยไม่ว่าจะด้วยรหัสโครงสร้างหรือการเชื่อมต่อฐานข้อมูลอาจเป็นอันตรายถึงชีวิตสำหรับไซต์แม้ว่าจะเปิดใช้งานบนไซต์ก็ตาม ในทางตรงกันข้ามปลั๊กอินที่เชื่อมต่อฐานข้อมูลที่มีโครงสร้างดีและเข้ารหัสอย่างดีอาจไม่มีช่องโหว่ด้านความปลอดภัยแม้ว่าจะปิดใช้งานแล้วก็ตาม ดังนั้นปัญหาอยู่ที่ไหน ฉันมีเว็บไซต์ที่มีปลั๊กอินที่ฉันใช้เป็นครั้งคราว ฉันไม่ต้องการลบ แต่เมื่อพวกเขาไม่ต้องการฉันเพียงแค่ปิดการใช้งานพวกเขาจากเว็บไซต์ ฉันต้องลบออกเพื่อความปลอดภัยของเว็บไซต์หรือไม่และถ้าเป็นเช่นนั้นทำไม

10 plugins  security 

ฉันได้รับการตรวจสอบข้อมูลจำนวนมากเกี่ยวกับการรักษาความปลอดภัย WP ธีมและปลั๊กอินและเข้าใจแนวคิดที่คุณควรหลีกเลี่ยงคุณลักษณะและค่า HTML ในชุดรูปแบบและปลั๊กอิน ฉันเคยเห็นbloginfo()และecho get_bloginfo()ใช้ทั้งมาตรฐานและภายในesc_html()หรือesc_attr()ฟังก์ชั่น Genesisและ _sชุดรูปแบบพื้นฐานของ Automattic หนีทั้งค่าเหล่านี้ แต่คู่มือมาตรฐานชุดรูปแบบ codex ของ WP ไม่ได้พูดอะไรเกี่ยวกับการหลีกเลี่ยงค่าเหล่านี้ ฉันดูในรหัส WP (wp-includes/option.php) และดูเหมือนว่ามีการฆ่าเชื้อของค่าเล็กน้อยจากget_option()แต่ดูเหมือนว่ามีตัวกรองที่ปลั๊กอินสามารถเขียนทับสำหรับค่าบางอย่าง ความจริงข้อนี้ทำให้ฉันคิดว่าควรจะหนีไป ใครช่วยสอนฉันเกี่ยวกับเรื่องนี้?

10 security  options  escaping  bloginfo 

ฉันต้องการกรอง URI คำขอ HTTP ที่ทำผ่าน HTTP API ใช้กรณี: การตรวจสอบการอัปเดต WordPress ไปที่http://api.wordpress.org/core/version-check/1.6/แต่https://api.wordpress.org/core/version-check/1.6/ก็ทำงานได้เช่นกันและฉันต้องการ เพื่อใช้สิ่งนี้เสมอ ไฟล์ WordPress ใหม่มาจากhttp://wordpress.org/wordpress-3.4.2.zipแต่https://wordpress.org/wordpress-3.4.2.zipก็ทำงานเช่นกัน บางครั้งฉันต้องการดีบักคำขอและเปลี่ยนเส้นทางชั่วคราวไปยังโดเมนที่กำหนดเองบนเซิร์ฟเวอร์ในพื้นที่ของฉัน ปลั๊กอินบางตัวทำการร้องขอไปยังเซิร์ฟเวอร์อื่นและฉันต้องการแทนที่คำขอเหล่านี้เมื่อเซิร์ฟเวอร์ภายนอกหยุดทำงาน การร้องขอการอัปเดตเป็นสิ่งที่สำคัญที่สุดในตอนนี้เนื่องจากยังมีข้อผิดพลาดที่ยังไม่รวม16778 ( ข้อมูลเพิ่มเติม ) และ HTTPS ร้องขอลดความเสี่ยงของการโจมตี Man-in-the-middle ฉันค้นหา อย่างถี่ถ้วนแล้วฉันได้ศึกษารหัสหลัก ... แต่จบลงอย่าง Nacin เมื่อสองปีที่แล้ว: ฉันคิดว่าคุณสามารถกรอง URL ของคำขอ HTTP ได้ แต่ตอนนี้ฉันหาไม่เจอ ฉันพลาดอะไร? ใช่ฉัน :)

10 filters  urls  security  updates  http-api 

เพิ่งโพสต์ปลั๊กอินใหม่: ไม่มีรหัสผ่านอีกต่อไป ขณะนี้ฉันติดแท็กเบต้าแล้วเนื่องจากการเข้าสู่แพลตฟอร์มเป็นปัญหาที่ละเอียดอ่อนและฉันไม่ต้องการเผยแพร่สิ่งที่อาจมีช่องโหว่ด้านความปลอดภัย ดังนั้นนี่คือคำถามของฉัน: ปลอดภัยไหม ฉันได้ทำสิ่งต่อไปนี้เพื่อความปลอดภัยแล้ว: ชื่อผู้ใช้ / รหัสผ่านจะไม่ถูกส่งกลับไปกลับมาเพียงแฮชที่ไม่ซ้ำกัน แฮชจะถูกลบออกจากฐานข้อมูลเมื่อมีการใช้งานแฮชเก่าที่ไม่ได้ใช้จะไม่สามารถใช้งานได้เว้นแต่ว่าฐานข้อมูลถูกแฮ็ก แต่คุณมีปัญหาที่ใหญ่กว่า เคียวรีฐานข้อมูลทั้งหมดของแฮชได้รับการหลบหนีเพื่อป้องกันการโจมตี XSS nonce เพิ่มการโทร ajax ไม่เพิ่มและการยืนยันที่เพิ่มลงในปลายอุปกรณ์เคลื่อนที่เพื่อป้องกันการโจมตี CSRF ที่นี่ผมมีคำอธิบายที่สมบูรณ์แบบของวิธีการทำงาน รุ่นถัดไปฉันหวังว่าจะใช้ oauth ผ่านทาง Twitter เนื่องจาก iOS ตอนนี้ทำงานได้ใน ... ขอบคุณสำหรับการป้อนข้อมูลของคุณล่วงหน้า แก้ไข: ฉันตัดสินใจว่าเป็นเลเยอร์ที่เพิ่มฉันจะเพิ่มการตรวจสอบ sessionID เพื่อให้แน่ใจว่าเป็นเบราว์เซอร์เดียวกันในการเข้าสู่ระบบเป็นเบราว์เซอร์ที่เริ่มต้นการเข้าสู่ระบบรหัส QR

10 plugins  security 

ฉันเพิ่งได้รับ WP ทำงานบนเซิร์ฟเวอร์ของฉันเอง ฉันไม่พยายามล็อกสิ่งต่าง ๆ เพิ่มเติม ผู้ใช้ db ควรมีสิทธิ์ใดใน WP db ของฉัน

10 mysql  security  permissions  privileges 

ฉันใหม่จาก wordpress และฉันต้องการปรับปรุงความปลอดภัยของ wordpress multisite โดยการซ่อนทรัพยากรที่ไม่ใช่สาธารณะเช่น wp-admin, wp-config ฯลฯ ดูเหมือนว่าการตั้งค่าของฉันจะใช้งานได้ แต่ฉันไม่รู้ว่าการตั้งค่านี้อาจทำให้บางอย่างเสียหาย (คุณสมบัติหลัก, ปลั๊กอินยอดนิยม ฯลฯ ) การตั้งค่าทั่วไปของฉันดีหรือไม่? การตั้งค่าของฉันปรับปรุงการรักษาความปลอดภัยจริงหรือฉันเสียเวลาหรือไม่ httpd-vhosts.conf (apache) # Disallow public access php for .htaccess and .htpasswd files <Files ".ht*"> Require all denied </Files> # Disallow public access for *.php files in upload directory <Directory "/htdocs/wp-content/uploads/"> <Files "*.php"> deny …

9 htaccess  security  configuration 

ฉันเดาว่าฉันกำลังขาดความรู้ด้านความปลอดภัยที่นี่ แต่มันควรจะมีเกลือเพียงอย่างเดียวหรือไม่? เหตุใดจึงจำเป็นเกลือสี่แบบที่แตกต่างกัน? define('AUTH_SALT', 'z(ly|p-aeKf^I~OfOUUIL&Y?C5Z.iu|L}kY%dvclq.h9n`)MlZe6'); define('SECURE_AUTH_SALT', 'NIY8g>=l9y~eV~WLu 3n>UG#3wSl4YfT%;z9`7m9Gk/k_Vn4`ej8'); define('LOGGED_IN_SALT', '<-[R@, I;m%n*9G?CU1a:))pEAa/r5X5@pT`cO2H|c2&x~G<p*3T:-5v<N'); define('NONCE_SALT', 'm(-0:+r0a%z~a:2F;]-geM$9~!4j(q3QdpkmB7;P+ZYYw7Rdy{97fS'); (ไม่ต้องกังวลค่า mangled และเป็นไซต์ท้องถิ่น)

9 security 

เราได้ติดตั้งความพยายามในการเข้าสู่ระบบแบบ จำกัด เป็นเวลาหลายสัปดาห์แล้วและจำนวนครั้งของความพยายามดุร้ายที่เกิดขึ้นใน wp-admin / wp-login นั้นน่าทึ่งมาก ในตอนแรกความพยายามนั้นเกิดจากชื่อผู้ใช้ "ผู้ดูแลระบบ" ซึ่งไม่มีอยู่ในเว็บไซต์ของเราดังนั้นฉันคิดว่ามันน่ารำคาญ แต่ก็ไม่ได้เป็นภัยคุกคามมากนัก อย่างไรก็ตามตอนนี้เรากำลังเห็นการล็อกเกิดขึ้นกับบัญชีผู้ใช้ที่เป็นผู้ดูแลระบบรายอื่นและฉันก็สูญเสียความเข้าใจอย่างสมบูรณ์ว่าผู้โจมตีกำลังหักล้างชื่อผู้ใช้ของบัญชีเหล่านี้อย่างไร ไม่มีเนื้อหาใดในเว็บไซต์ของเราที่เขียนขึ้นโดยใครโดยเฉพาะและฉันไม่สามารถค้นหาตำแหน่งอื่น ๆ ในเว็บไซต์ของเราที่ชื่อผู้ใช้เหล่านี้ถูกเผยแพร่สู่สาธารณะ มีแนวคิดใดเกี่ยวกับชื่อผู้ใช้ที่สามารถค้นพบได้อย่างไร

9 admin  wp-admin  security