Articles of безопасности

Избегайте «загрузки» 777 разрешений: потенциальная угроза или чистое решение?

Недавно измененный хостинг веб-сайта и найденный каталог загрузки WordPress не был «доступен». Я читал, что разрешения на установочную папку для 777 позволят всем работать нормально, но я считаю это большой проблемой безопасности и будущей проблемой. СЦЕНАРИЙ: Права доступа к папке (и ее содержимое) – 755, административная учетная запись – владелец / группа, а WordPress не […]

Каталог для хранения защищенного файла

У меня есть веб-сайт, размещенный на сервере ASP.NET, и использование wordpress для создания моего сайта. Я расширил свои функции с помощью PHP-кода. В каком каталоге хранятся защищенные файлы, такие как (пароли и сертификат.pem)? Мой сервер имеет следующую структуру: -/ -/mywebsite.com -/data -/logs -/wwwroot -/wp-admin -/wp-content -/wp-includes Я понимаю, что ASP.NET имеет файл с именем web.config, […]

Закрепить SSL на одной странице, которая используется как iFrame

У меня есть одна страница WordPress, которая содержит только короткий код для слайдера и используется другими веб-сайтами в качестве iFrame. Мне нужно заставить SSL одну эту одну страницу, но что бы я ни пытался, она не перенаправляется. Я пытался добиться этого с помощью следующей функции: function yst_ssl_template_redirect() { $page_id = 498; if ( is_page( $page_id […]

PHP Sniffer – стандарты кодирования WordPress VIP

Я пытаюсь исправить свой код, чтобы соответствовать стандартам кодирования WordPress VIP. Я получаю пару проблем, которые мне бы хотелось уйти, но я не уверен, что такое лучшая стратегия. Первая проблема – когда я проверяю nonce при сохранении данных метамокса: $nonce = isset( $_POST['revv_meta_box_nonce'] ) ? $_POST['revv_meta_box_nonce'] : ''; Ошибка, которую я получаю здесь, – 'Processing […]

Опасности, позволяющие разрешать доступ-Контроль-Разрешить-Происхождение: * только для фидов.

Я хочу использовать такую ​​функцию, чтобы разрешить доступ к каналам из различных служб, но мои знания о последствиях безопасности ограничены. Я думаю, что я в безопасности, ограничивая доступ к каналам. Каковы опасности (если есть), которые я создаю, если я это сделаю? add_action( 'pre_get_posts', 'add_header_origin' ); function add_header_origin() { if (is_feed()){ header( 'Access-Control-Allow-Origin: *' ); } […]

Требовать подтверждения электронной почты текущего пользователя перед обновлением базы данных и перед отправкой send_email_change_email

Мне нравится основная способность пользователей обновлять поле по умолчанию «Электронная почта». Например, имя_пользователя1 может отредактировать собственный профиль и изменить поле «Электронная почта» по адресу электронной почты1@example.com по адресу электронной почты2@example.com и нажать «Сохранить». После обновления мне нравится письмо, которое отправляется ядром wordpress на email1@example.com, сообщая, что это произошло в базе данных. Это письмо является любезностью […]

Использование wp_localize_script в файле шаблона – безопасно ли это?

У меня есть следующий код внутри одного из моих файлов шаблонов (NOT functions.php) $datatoBePassed = array( 'pageTitle' => get_the_title() ); wp_localize_script( 'main-js', 'php_vars', $datatoBePassed ); Мне интересно, есть ли какие-либо неотъемлемые проблемы безопасности при выполнении чего-то вроде этого вне функции. Php. Моя цель здесь очень проста: я просто передаю заголовок страницы в JavaScript, чтобы он […]

Отключить или изменить доступ-Контроль-Разрешить-Происхождение из заголовков ответов

Я хотел бы знать, что возможно изменить или удалить Access-Control-Allow-Origin из Response Headers Из-за соображений безопасности мне нужно изменить Access-Control-Allow-Origin из * в domain Я добавляю новый <customHeaders> <add name="Access-Control-Allow-Origin" value="domain" /> </customHeaders> Но заголовок все еще отображается * на некоторых страницах , см. Изображение ниже. Некоторые другие страницы отражают изменения, которые я ищу. Могу […]

Получить данные $ _POST для отправки на javascript без использования скрипта localize

У меня есть ситуация, когда мне нужно получить доступ к данным $ _POST для отправки чувствительной строки в javascript без использования скрипта localize, а также не позволять чувствительной строке быть доступной в консоли или источнике (html) страницы. Я исследовал, что AJAX может помешать чувствительной строке, исходящей из PHP, отображаться в источнике страницы (html), поскольку это […]

Управление пользователями для пользователей, у которых нет адреса электронной почты

У меня есть запрос на размещение учетных записей пользователей для большого числа лиц, у которых есть только номер факса, нет электронной почты. Проект предназначен для портала, который позволит проверенным пользователям входить в портал для доступа к информации, специфичной для этого пользователя. Пользователи и их учетные записи будут управляться через WordPress, вероятно, через пользовательскую систему управления […]

Intereting Posts
Сколько людей может одновременно использовать одну и ту же учетную запись WordPress? Как настроить found_posts так, чтобы он учитывал смещение и разбиение на страницы Показать сообщения из массива ID Добавление меню плагина в многопользовательском режиме как иметь только один пост post post post? Как проверить, активна ли тема? Данные Metabox не сохраняются Название сайта и линия тегов (оба варианта) Показывать по моему названию / названию сайта Пользовательский wp_query отличается на странице индексной страницы и категории Создайте WP_Query для поиска сообщений по их категориям или их родительским / дочерним категориям Как я могу надежно найти URL-адрес для скрипта или другого файла? Пользовательские таблицы стилей TinyMCE для разных типов сообщений Поиск URL-адреса, который будет использоваться для проверки наличия плагина с темой Нажмите ссылку на странице плагина / темы и откройте контекстную справку на определенной вкладке Пользовательские стили не работают при копировании в тему style.css