«security» 태그된 질문

WordPress를 사용하고 있다는 사실에 대해 신중한 웹 사이트가 있습니다. 덜 명확하게하기 위해 어떤 조치를 취할 수 있습니까? 편집-중요한 보안 정보 : Mark의 답변에 따라이 작업을 완벽하게 수행하는 것은 불가능 하므로 보안 조치로 이것에 의존하지 마십시오.

142 security  customization 

요즘 가장 일반적인 보안 모범 사례 중 하나는 vhost의 문서 루트보다 한 디렉토리 위로 이동하는wp-config.php 것 같습니다 . 나는 그에 대한 좋은 설명을 찾지 못했지만 웹 루트 내에서 악성 또는 감염된 스크립트가 데이터베이스 비밀번호를 읽을 수 없도록 위험을 최소화한다고 가정합니다. 그러나 WordPress에서 계속 액세스해야하므로 open_basedir문서 루트 위에 디렉토리를 포함 하도록 …

135 security  customization  wp-config 

http://fakeplasticrock.com의 재미있는 WordPress 블로그 (WordPress 3.1.1 실행)가 해킹당했습니다 <iframe>. 모든 페이지에 다음과 같이 표시되었습니다 . <iframe src="http://evilsite.com/go/1"></iframe> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> 나는 다음을했다 내장 WordPress 업그레이드 시스템을 통해 3.1.3으로 업그레이드 설치된 공격 스캐너 와 (중요 이상한 파일에 대한 경고의 많은) 안티 바이러스는 …

105 security  hacked 

사용자가 파일을 업로드하는 개인 사이트에 워드 프레스를 사용합니다. 사용자가 로그인하지 않은 경우 "비공개 WordPress"를 사용하여 사이트에 액세스하지 못하게합니다. 업로드 폴더에 업로드 된 파일에 대해서도 동일하게 수행하고 싶습니다. 그들은 로그인하지 않은 그 사용자가 액세스 할 수 실 거예요 그래서 경우 : https://xxxxxxx.com/wp-content/uploads/2011/12/xxxxxxx.pdf를 가 액세스하려고하면하지만 다음 기록되지 않습니다 그들은해야 예를 들어 로그인 …

79 media  security  media-library  uploads 

wp-admin 폴더의 이름을 바꿀 수 있습니까? 이름을 바꿀 수는 있지만 코드에서 지원하지 않으면 많은 것이 깨질 것입니다. 사용자 정의 폴더 이름을 사용하면 모호함과 보안으로 약간 더 안전합니다.

69 wp-admin  security 

WordPress 플러그인을 작성할 때 종종 사이트의 역할이 특정 기능이나 컨텐츠에 액세스 할 수있는 옵션을 설정해야합니다. 이를 위해 플러그인 개발자는 옵션에 사용할 사이트에 존재하는 역할 목록을 가져와야합니다. 사용자 지정 역할을 만들 수 있으므로 기본 역할 만 사용할 수 있다고 가정 할 수 없습니다. 목록을 가져 오는 가장 좋은 방법은 무엇입니까?

38 security  users  capabilities  user-roles 

최근에 수동 설치 또는 원 클릭 설치 옵션을 사용할 수 없기 때문에 WP Smush Pro 플러그인을 설치할 수없는 문제가있었습니다. 내가 건너 온 이 게시물 의 설정을 조정 제안했다 wp-config.php. 제안 된 설정을 추가했지만 가장 중요한 것으로 보이는 설정은 다음과 같습니다. define('FS_METHOD', 'direct'); 내가 알고 싶은 것은 무엇을 설정 FS_METHOD해야 direct할까? …

36 plugins  security  wp-config  ftp 

워드 프레스 사이트에서 사용자 이름을 열거하지 못하게 할 수 있습니까? WPScan 도구를 사용하여 현재 사용자를 볼 수 있습니다.

33 security 

때때로 다음과 같은 스 니펫 테마를 실행했습니다. if ( ! defined('ABSPATH')) exit('restricted access'); 테마의 일부 (모두?) PHP 파일의 시작 부분에 있으며 사악한 소스에 의한 파일의 직접 액세스를 방지해야합니다. 나는 이것이 Twenty Ten 또는 11에 포함되어 있지 않으며 공식 WordPress 문서에서 권장되는 것을 본 적이 없습니다. 그것은 나에게 좋은 생각처럼 보이지만 …

31 theme-development  security 

WordPress를로 업그레이드 4.7.1했으며 그 후 수정 해야하는 REST API를 통해 사용자를 열거하려고했지만 사용자를 검색 할 수있었습니다. https://mywebsite.com/wp-json/wp/v2/users 산출: [{"id":1,"name":"admin","url":"","description":"","link":"https:\/\/mywebsite\/author\/admin\/","slug":"admin","avatar_urls":{"24": ... 최신 버전의 변경 사항 : REST API는 공개 게시물 유형의 게시물을 작성한 모든 사용자에 대한 사용자 데이터를 노출했습니다. WordPress 4.7.1에서는 REST API 내에 표시되도록 지정한 게시물 유형으로 만이를 제한합니다. Krogsgard와 …

28 security  rest-api 

일정 시간이 지나면 WP는 모든 사용자를 로그 아웃하고 강제로 다시 로그인하도록합니다. 내 로컬 컴퓨터의 개발 환경에서 이것은 불분명하고 절대적으로 필요하지 않습니다. 자동 로그 아웃을 무기한 비활성화하는 API 중심 방식이 있습니까? 이상적으로 wp-config.php다른 dev-setup 관련 설정과 함께 추가 할 수있는 것을 원합니다 . 플러그인은 저에게 과잉 일 것이므로 답변으로 간주하지 않지만 …

28 security  wp-admin  login 

wp-login.php URL을 변경하는 방법은 무엇입니까? Wordpress를 사용한 적이있는 모든 사람이 사이트에서 해당 사이트를 사용 중인지 쉽게 확인하고 로그인 페이지로 바로 이동할 수있는 것은 안전하지 않은 것 같습니다. "Stealth login"이라는 플러그인이 있었지만 업데이트되지 않았습니다. (따라서 플러그인에 의존하는 것을 꺼려합니다).

26 login  security 

xmlrpc.php 파일이 필요 없을 때 WordPress에서 제거하는 가장 좋은 방법은 무엇입니까?

25 security  content  xml-rpc  customization 

현재로서는이 질문이 Q & A 형식에 적합하지 않습니다. 답변, 사실, 참고 자료 또는 전문 지식을 통해 답변이 뒷받침 될 것으로 예상되지만이 질문은 토론, 논쟁, 여론 조사 또는 광범위한 토론을 요구할 것입니다. 이 질문을 개선하고 다시 열 수 있다고 생각 되면 도움말 센터 를 방문하여 안내를 받으십시오 . 휴일 칠년 전에 …

22 plugins  themes  security 

어떤 차이점을 사용해야합니까? wp_verify_nonce는 시간 제한을 확인하고 check_admin_referer는 wp_verify_nonce를 호출하고 관리자 URL 세그먼트를 확인하는 것으로 생각하지만 어느 것을 사용해야하고 언제 사용 해야하는지 조금 혼란 스럽습니다. 명확성을 주셔서 감사합니다.

21 admin  security  nonce