Articles of безопасность

Как переписать правила для WP-безопасности в Nginx?

У меня есть сайт WordPress на VPS, работающем с nginx. Я установил плагин WP Security для повышения безопасности моего сайта. После изменения всех настроек по своему вкусу всплывающее окно уведомляет меня о том, что мне нужно переписать правила, чтобы сохранить изменения. Часть из них говорила: «См. Панель управления лучшей WP Security для списка правил перезаписи, […]

Защита метана и публичных функций пользователя

Я использую stripe для настройки системы покупки кредитов, которые можно использовать на моем сайте WordPress. Я сохраняю кредиты, используя метаданные wordpress, и я увеличиваю эти кредиты после успешной транзакции с полосой. Я делаю это, используя следующую функцию в моих файлах functions.php темы. //increment a users pack credits function increment_pack_credits( $user_id , $credit_amt ) { if […]

Возможность перейти к администратору WordPress даже после удаления файлов cookie из заголовков запроса

Я обнаружил, что если я удалю свои файлы cookie из своего заголовка запроса моего браузера, я все равно могу просмотреть страницу. шаги: Войдите в мою установку WordPress Перейдите на страницу wp-admin В Chrome используйте вкладку «Сеть разработчика» и скопируйте заголовки для доступа к странице Вставить файл cookie в Dev HTTP Client Удалить все файлы cookie […]

Используемая тема WordPress вызывает высокую нагрузку на сервер на сервере

Я использовал тему WordPress на некоторое время, что вызывало высокую нагрузку IO на моем сервере. Это было потому, что были какие-то подвиги, сделанные / доступные для темы: http://www.exploit-db.com/exploits/29150/ . Поэтому я удалил тему, установил другую, но «они» продолжают возвращаться. Поскольку доменное имя где-то зарегистрировано, оно уязвимо или что-то в этом роде. Что я могу сделать, […]

Почему так часто вызывается xmlrpc.php и wp-cron.php?

Я запускаю веб-сайт WordPress, и я нашел из журналов сервера, что очень часто запрашиваются xmlrpc.php и wp-cron.php (запросы POST, конечно) – в том числе некоторые подозрительные ips, которые падают от вредоносной активности или попыток , Я понимаю, что xmlrpc.php предоставляет «API» для других, чтобы взаимодействовать с сайтом. wp-cron.php предназначен для периодических задач. Итак, почему я […]

Разрешения на папки + проблемы безопасности

Я испортил плохих парней. Я, работая над другой частью своего сайта, случайно удалил свои права на доступ к папке WordPress. Я смог найти / исправить некоторые проблемы, и у меня появился мой сайт, но некоторые функции, такие как публикация в приложении или работа с темами, по-прежнему нарушены. Есть ли способ сбросить все права доступа к […]

Функция wp_create_nonce не работает внутри плагина?

Я пишу плагин WordPress, который создает форму в одной из своих функций. Это выглядит так (очень просто): class MyPlugin { public function createForm() { $nonce = wp_create_nonce('my_form_nonce'); echo '<input type="hidden" value=" . $nonce . ">'; } } Это не работает. Я получаю сообщение об ошибке PHP, функция wp_create_nonce не существует. Хорошо, я понимаю, что в […]

Любой способ отключить /wp-login.php перенаправление на папку сайта?

У нас есть наши установки WP в папках на сервере. Мы создали папки под названием wp-admin и login, чтобы помешать хакерам. Однако, недоверчиво, когда вы вводите /wp-login.php, он переводится в нашу mysite.com/folder. Я не могу поверить, что WP делает это легко. Как отключить доступ к wp-login.php через адресную строку?

Сайт постоянно доступен несколькими IP-адресами

У меня есть блог с высоким трафиком WordPress, но за последние два дня я постоянно получаю сообщение об ошибке «Ошибка при установлении соединения с базой данных». Я позвонил в службу поддержки моего хостинга, и они говорят, что мой блог постоянно обращается к некоторым IP-адресам, и они блокируют эти ips. Но через 4 или 5 часов […]

WP upload / select image, разве это не проблема безопасности?

Если в кадре загрузки изображения я выбираю zip http://prntscr.com/6ypjlv , он не отображает его в списке файлов, но он находится на http://prntscr.com/6ypjvp разве мы не можем загружать только типы изображений, если библиотека установлена ​​на изображения? thz_media_frame = wp.media.frames.thz_media_frame = wp.media({ className: 'media-frame thz-media-frame', frame: 'select', multiple: false, title: thz_image.title, library: { type: 'image' // images […]