WordPress security

3

Que pourrait faire un pirate avec mon wp-config.php

J'essaie de sécuriser mon blog wordpress. J'ai lu quelques articles sur le Web que je devrais changer table_prefixet cacher wp-config.php. Cependant, je ne comprends pas? Que pourrait faire un attaquant avec moi wp-config.php? Je veux dire qu'il y a mes configurations de base de données, mais l'attaquant a besoin de …

11 plugins security wp-config

1

solution simple pour restreindre l'accès à (certains) chargements / téléchargements

Situation initiale Pour un site que je suis en train de créer, je cherchais dans tout le domaine de la sécurisation des téléchargements / téléchargements et de la restriction de l'accès en fonction des rôles / capacités des utilisateurs. Bien sûr, j'ai lu certaines des questions précédentes liées au sujet …

11 uploads attachments security private content-restriction

2

Les nonces sont-ils inutiles?

C'est probablement une question de NOOB MAIS écoutez-moi - n'est-il pas utile d'utiliser Nonce pour se protéger contre des choses comme les scrappers (phpcurl scrappers etc.)? Mais mon Nonce s'imprime dans la tête du document comme suit: /* <![CDATA[ */ var nc_ajax_getpost = { ...stuff... getpostNonce: "8a3318a44c" }; /* ]]> …

11 security nonce

2

Où stocker en toute sécurité les clés d'API et les mots de passe dans WordPress?

Je cherche à utiliser quelques API et beaucoup viennent avec des clés, des clés secrètes et des mots de passe nécessaires pour fonctionner. Où dans WordPress pouvez-vous stocker ces informations? En supposant que n'importe qui peut pirater votre base de données, existe-t-il de toute façon que WordPress rende la sauvegarde …

11 security options password private

1

Quand utiliser esc_html et quand utiliser sanitize_text_field?

Il semble qu'ils font presque le même type de travail. Donc... Quand devrais-je utiliser à la esc_html()place de sanitize_text_field()?

11 security sanitization

3

Les plugins désactivés sont-ils des failles de sécurité - rumeur ou réalité?

J'ai lu de nombreux articles de blog sur la sécurité WordPress où les experts en sécurité recommandent des mesures spéciales à prendre en compte lorsque quelqu'un est préoccupé par la sécurité de leur site WordPress. L'un d'eux est: Conseils de sécurité WordPress: supprimez les plugins inutiles qui ne sont pas …

10 plugins security

1

Du point de vue de la sécurité, faut-il échapper bloginfo () ou get_bloginfo ()?

J'ai passé en revue de nombreuses informations sur le thème WP et la sécurité des plugins et je comprends le concept selon lequel vous devez échapper les attributs et les valeurs HTML dans les thèmes et les plugins. J'ai vu bloginfo()et echo get_bloginfo()utilisé à la fois la norme et l'intérieur …

10 security options escaping bloginfo

3

Filtrer tout URI de requête HTTP?

Je souhaite filtrer tout URI de requête HTTP effectué via l'API HTTP. Cas d'utilisation: La vérification de la mise à jour de WordPress va à http://api.wordpress.org/core/version-check/1.6/ , mais https://api.wordpress.org/core/version-check/1.6/ fonctionne aussi, et je veux pour l'utiliser toujours. Le nouveau fichier WordPress est extrait de http://wordpress.org/wordpress-3.4.2.zip , mais https://wordpress.org/wordpress-3.4.2.zip fonctionne également. …

10 filters urls security updates http-api

2

Comment puis-je implémenter en toute sécurité une fonction de connexion sans mot de passe?

Je viens de publier un nouveau plugin: No More Passwords Je l'ai actuellement bêta car la connexion à une plate-forme est un problème sensible et je ne veux pas publier quelque chose qui pourrait comporter des failles de sécurité. Voici donc ma requête: Est-ce sécurisé? J'ai fait ce qui suit …

10 plugins security

5

Quelles sont les autorisations de base de données recommandées pour WordPress?

Je viens de faire fonctionner WP sur mon propre serveur. Je n'essaie pas de verrouiller davantage les choses. Quelles autorisations l'utilisateur db doit-il avoir sur ma base de données WP?

10 mysql security permissions privileges

2

Améliorez la sécurité de WordPress en masquant les ressources non publiques

Je suis nouveau chez wordpress et je souhaite améliorer la sécurité de wordpress multisite en masquant les ressources non publiques, par exemple. wp-admin, wp-config etc. Mon paramètre semble fonctionner, mais je ne sais pas si ce paramètre peut casser quelque chose (fonctionnalités de base, plug-in populaire, etc.) Mes paramètres sont-ils …

9 htaccess security configuration

1

Pourquoi WordPress a-t-il plus d'un sel?

Je suppose que j'expose un certain manque de connaissances en matière de sécurité ici, mais cela ne devrait-il pas suffire d'avoir un sel? Pourquoi quatre sels différents sont-ils nécessaires? define('AUTH_SALT', 'z(ly|p-aeKf^I~OfOUUIL&Y?C5Z.iu|L}kY%dvclq.h9n`)MlZe6'); define('SECURE_AUTH_SALT', 'NIY8g>=l9y~eV~WLu 3n>UG#3wSl4YfT%;z9`7m9Gk/k_Vn4`ej8'); define('LOGGED_IN_SALT', '<-[R@, I;m%n*9G?CU1a:))pEAa/r5X5@pT`cO2H|c2&x~G<p*3T:-5v<N'); define('NONCE_SALT', 'm(-0:+r0a%z~a:2F;]-geM$9~!4j(q3QdpkmB7;P+ZYYw7Rdy{97fS'); (Ne vous inquiétez pas, les valeurs sont altérées et c'est un …

9 security

2

Sécurisation des comptes d'administrateur - Découverte du nom d'utilisateur

Nous avons installé Limit Login Attempts depuis quelques semaines maintenant, et le nombre de tentatives de force brute sur wp-admin / wp-login est assez étonnant. Au début, les tentatives étaient toutes avec le nom d'utilisateur "Admin", qui n'existe pas sur notre site, donc je l'ai considéré comme une gêne mais …

9 admin wp-admin security

1

comment_post_ID 0 (ne peut pas être supprimé du tableau de bord)

J'ai traversé quelque chose d'un peu étrange que je n'avais jamais vu auparavant. Un client a un blog assez actif et utilise Akismet (payant) pour se protéger contre le spam. Au moins une fois par jour, ils signalent un commentaire de spam correctement marqué comme spam, mais qui ne peut …

9 comments database security

4

Pourquoi s'échapper si le_contenu n'est pas?

La fonction intégrée the_contentpasse par plusieurs filtres, mais n'échappe pas à la sortie. Il lui serait difficile de le faire, car HTML et même certains scripts doivent être autorisés. Lors de la sortie, the_content semble passer par ces filtres (à partir de 5.0): add_filter( 'the_content', 'do_blocks', 9 ); add_filter( 'the_content', …

8 security

Questions marquées «security»