Perguntas com a marcação «security»

Eu tenho um site para o qual estamos tentando ser discretos sobre o fato de estarmos usando o WordPress. Que medidas podemos tomar para torná-lo menos óbvio? EDIT - Nota importante de segurança: Por favor, entenda que fazer isso perfeitamente é impossível de acordo com a resposta de Mark , …

142 security  customization 

Uma das práticas recomendadas de segurança mais comuns atualmente parece estar movendo wp-config.phpum diretório mais alto que a raiz do documento do vhost . Eu realmente nunca encontrei uma boa explicação para isso, mas presumo que seja para minimizar o risco de um script malicioso ou infectado dentro da raiz …

135 security  customization  wp-config 

Meu divertido blog do WordPress em http://fakeplasticrock.com (executando o WordPress 3.1.1) foi hackeado - ele exibia um <iframe>em todas as páginas da seguinte forma: <iframe src="http://evilsite.com/go/1"></iframe> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> Eu fiz o seguinte Atualizado para 3.1.3 através do sistema de atualização …

105 security  hacked 

Eu uso o wordpress para um site privado onde os usuários enviam arquivos. Eu uso o "WordPress Privado" para impedir o acesso ao site se o usuário não estiver logado. Gostaria de fazer o mesmo com os arquivos enviados na pasta de uploads. Portanto, se um usuário não estiver logado, …

80 media  security  media-library  uploads 

É possível renomear a pasta wp-admin? Eu sei que poderia renomeá-lo, mas, a menos que seja suportado pelo código, muitas coisas iriam quebrar. Se eu usar um nome de pasta personalizado, ele ficará um pouco mais seguro, segurança por obscuridade e tudo mais.

70 wp-admin  security 

Ao escrever plugins do WordPress, geralmente é necessário configurar opções para quais funções no site têm acesso a determinadas funcionalidades ou conteúdos. Para fazer isso, um desenvolvedor de plug-in precisa buscar a lista de funções que existem no site para usar na opção Como as funções personalizadas podem ser criadas, …

38 security  users  capabilities  user-roles 

Recentemente, tive um problema em que não consegui instalar o plug-in do WP Smush Pro porque não tenho as opções de instalação manual ou instalação com um clique disponíveis. Me deparei com este post que sugeria ajustar as configurações wp-config.php. Eu adicionei as configurações sugeridas, no entanto, a que parece …

36 plugins  security  wp-config  ftp 

Posso impedir a enumeração de nomes de usuário no meu site wordpress? Eu posso ver os usuários no momento usando a ferramenta WPScan.

33 security 

De vez em quando, deparei com o seguinte snippet em temas: if ( ! defined('ABSPATH')) exit('restricted access'); Está no início de alguns (todos?) Arquivos PHP em um tema e deve impedir o acesso direto ao arquivo por fontes nefastas. Vejo que isso não está incluído no Twenty Ten or Eleven …

31 theme-development  security 

Atualizei meu WordPress para 4.7.1e, depois disso, tentei enumerar os usuários por meio da API REST, que deveria ser corrigida, mas consegui recuperar os usuários. https://mywebsite.com/wp-json/wp/v2/users Saída: [{"id":1,"name":"admin","url":"","description":"","link":"https:\/\/mywebsite\/author\/admin\/","slug":"admin","avatar_urls":{"24": ... Registro de alterações da versão mais recente: A API REST expôs dados do usuário para todos os usuários que criaram uma …

28 security  rest-api 

Após um certo período de tempo, o WP efetua logout de todos os usuários e os força a efetuar login novamente. Para ambientes de desenvolvimento em minha máquina local, isso é desagradável e absolutamente desnecessário. Existe uma maneira orientada por API de desativar o logoff automático indefinidamente? Idealmente, gostaria de …

28 security  wp-admin  login 

Alguma maneira de alterar o URL do wp-login.php? Parece inseguro que todo mundo que já usou o Wordpress possa ver facilmente se o site está usando o site e acessar a página de login. Havia um plug-in chamado "Login furtivo", mas não era atualizado. (E, portanto, nossa relutância em confiar …

26 login  security 

Qual é a melhor maneira de eliminar o arquivo xmlrpc.php do WordPress quando você não precisa?

25 security  content  xml-rpc  customization 

Atualmente, essa questão não se encaixa no nosso formato de perguntas e respostas. Esperamos que as respostas sejam apoiadas por fatos, referências ou conhecimentos, mas essa pergunta provavelmente solicitará debates, argumentos, pesquisas ou discussões prolongadas. Se você acha que essa pergunta pode ser melhorada e possivelmente reaberta, visite o centro …

22 plugins  themes  security 

Qual é a diferença, qual deles devo usar? Eu sei que wp_verify_nonce verifica o limite de tempo, e check_admin_referer, acho que chama wp_verify_nonce, além de verificar se há um segmento de URL de administrador, mas estou um pouco confuso sobre qual devo usar e quando. Obrigado pela clareza.

21 admin  security  nonce