タグ付けされた質問 「security」

WordPressを使用しているという事実について目立たないようにしようとしているWebサイトがあります。目立たないようにするために、どのような手順を踏むことができますか？ 編集-重要なセキュリティ上の注意： これを完全に行うことはMarkの答えに従って不可能であるため、セキュリティ対策としてこれに依存しないでください。

142 security  customization 

最近の最も一般的なセキュリティのベストプラクティスの1つは、vhostのドキュメントルートより1つ上のディレクトリを移動wp-config.phpすることです。そのための良い説明を実際に見つけたことはありませんが、Webroot内の悪意のあるスクリプトまたは感染したスクリプトがデータベースのパスワードを読み取るリスクを最小限に抑えるためだと思います。 ただし、WordPressにアクセスさせる必要があるため、展開open_basedirしてドキュメントルートの上のディレクトリを含める必要があります。それは単に目的全体を無効にするだけでなく、サーバーログ、バックアップなどを攻撃者にさらす可能性もありませんか？ または、技術は、PHPエンジンによって解析されるのではなく、wp-config.phpリクエストしている人にプレーンテキストとして表示される状況を防止しようとしているだけhttp://example.com/wp-config.phpですか？これはごくまれにしか発生しないように思われ、logs / backups / etcをHTTPリクエストにさらすことのマイナス面を上回ることはありません。 他のファイルを公開せずにホスティング設定でドキュメントルートの外に移動することは可能ですが、他の設定ではできませんか？ 結論： この問題について何度も何度もやり直した後、2つの答えが出てきました。Aaron Adamsはwp-config の移動を支持して良いケースを作成し、chrisguitarguyはそれに対して良いケースを作成します。これらは、スレッドに不慣れで、すべてを読みたくない場合に読むべき2つの答えです。他の答えは、冗長または不正確です。

135 security  customization  wp-config 

http://fakeplasticrock.com（WordPress 3.1.1を実行中）にある私の楽しいWordPressブログがハッキングされました- <iframe>すべてのページに次のように表示されていました： <iframe src="http://evilsite.com/go/1"></iframe> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> 私は次のことをしました 組み込みのWordPressアップグレードシステムを介して3.1.3にアップグレードされました インストールされているエクスプロイトスキャナ（珍しいファイル上の重要な警告がたくさん）とアンチウイルス（これはすべての緑ときれい示したので、私はアンインストールして実行した後、それを削除） MySQLパスワードを変更しました。 すべてのWordPressユーザーパスワードを変更しました。 FTP経由で接続し、ファイルシステム全体をダウンロードしました（サイズは大きくありません。これはWordPress専用のLinux共有ホストです） WordPress 3.1.3の公式ZIPに対してファイルシステムを相違させ、一致しないものを削除または上書きしました。 確かに ディスク上のすべてのファイルは公式のWordPress 3.1.3ファイルです 私のディスク/theme、Exploit Scannerプラグイン（ダウンロードしたばかり）、/uploadsフォルダ、その他の予想されるファイル以外のディスクには、「余分な」ファイルはありません。私の他のプラグイン、wp-recaptchaは、現在の公式ダウンロードバージョンと一致します。 .htaccessファイルもチェックしましたが、何も問題がないようです 私はデータベースに触れませんでしたが、データベース内の何かがそれを動作させる特別なPHPコードなしでどのように悪意があるのか​​を考えるのに苦労していますか？ 私のWordPressブログは問題なく表示され、ハッキングされていないように思えますが、他に確認する必要があるものはありますか？

105 security  hacked 

ユーザーがファイルをアップロードするプライベートサイトでwordpressを使用しています。ユーザーがログインしていない場合、サイトへのアクセスを防ぐために「Private WordPress」を使用しています。 uploadsフォルダーにアップロードされたファイルにも同じことをしたいと思います。 そのため、ログインしていないユーザーが https://xxxxxxx.com/wp-content/uploads/2011/12/xxxxxxx.pdf にアクセスできない場合、アクセスしようとしてもログインしていない場合は、たとえば、ログインページにリダイレクトされます。 私はプライベートファイルと呼ばれるプラグインを見つけましたが、最後に更新されたのは2009年であり、それは私のワードプレスで動作しないようです。 誰もが方法を知っていますか？これを保護するには、ホットリンク方式で十分ですか？ 私もこの方法を見つけました： # BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteCond %{REQUEST_URI} ^.*uploads/private/.* RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in.*$ [NC] RewriteRule . /index.php [R,L] RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> # END WordPress しかし、クッキーを複製するユーザーはこの権利を渡すことができますか？よろしく

79 media  security  media-library  uploads 

wp-adminフォルダーの名前を変更することはできますか？ 名前を変更することはできますが、コードでサポートされていない限り、多くのことが壊れます。 カスタムフォルダー名を使用する場合、それはわずかに安全性を高めます。

70 wp-admin  security 

WordPressプラグインを作成する際、多くの場合、サイト上のロールが特定の機能またはコンテンツにアクセスするためのオプションを設定する必要があります。これを行うには、プラグイン開発者がオプションで使用するサイトに存在するロールのリストを取得する必要があります。カスタムロールを作成できるため、デフォルトロールのみが使用できるとは限りません。 リストを取得する最良の方法は何ですか？

38 security  users  capabilities  user-roles 

手動インストールまたはワンクリックインストールオプションがないため、WP Smush Proプラグインをインストールできないという問題が最近発生しました。 私はこの投稿に出会い、設定を微調整することを提案しましたwp-config.php。推奨される設定を追加しましたが、最も重要と思われる設定は次のとおりです。 define('FS_METHOD', 'direct'); 私が知りたいのは、私が設定FS_METHODすることに関して実際に懸念するべきことは何directですか？プラグインをインストールする他の方法はありますか？ これは公式文書が述べていることです： FS_METHODは、ファイルシステム方式を強制します。「direct」、「ssh2」、「ftpext」、または「ftpsockets」のみにしてください。通常、更新の問題が発生している場合にのみ、これを変更する必要があります。変更しても解決しない場合は、元に戻す/削除します。ほとんどの状況では、自動的に選択された方法が機能しない場合、「ftpsockets」に設定すると機能します。 （プライマリ設定）「direct」は、PHP内からDirect File I / Oリクエストを使用するように強制します。これは、適切に構成されていないホストでセキュリティの問題を引き起こすことにつながります。

36 plugins  security  wp-config  ftp 

ワードプレスサイトでユーザー名の列挙を防止できますか？現在、WPScanツールを使用してユーザーを確認できます。

33 security 

テーマで次のスニペットに時々出くわしました： if ( ! defined('ABSPATH')) exit('restricted access'); テーマ内のいくつかの（すべての？）PHPファイルの先頭にあり、悪意のあるソースによるファイルへの直接アクセスを防止することになっています。 これはTwenty TenやElevenには含まれておらず、WordPressの公式ドキュメントで推奨されていることは一度もありません。私にとっては良い考えのように思えますが、私はセキュリティについて判断するのに十分な知識も持っておらず、グーグルで多くを見つけることができません。 これはカスタムテーマに含めるべきものですか？もしそうなら、それはすべてのPHPファイルにあるべきですか、それともいくつかですか？

31 theme-development  security 

WordPressを4.7.1にアップグレードし、その後REST APIを使用してユーザーを列挙しようとしましたが、修正する必要がありますが、ユーザーを取得することができました。 https://mywebsite.com/wp-json/wp/v2/users 出力： [{"id":1,"name":"admin","url":"","description":"","link":"https:\/\/mywebsite\/author\/admin\/","slug":"admin","avatar_urls":{"24": ... 最新バージョンからの変更ログ： REST APIは、公開投稿タイプの投稿を作成したすべてのユーザーのユーザーデータを公開しました。WordPress 4.7.1では、これをREST API内に表示するよう指定した投稿タイプのみに制限しています。KrogsgardとChris Jeanによって報告されました。 pluginをインストールした後Disable REST API、すべてが正常に機能しているように見えますが、私はすべての小さなもののプラグインに使用するのは好きではありません。 プラグイン使用後の出力は次のとおりです。 {"code":"rest_cannot_access","message":"Only authenticated users can access the REST API.","data":{"status":401}} プラグインを使用せずにこの問題を修正するにはどうすればよいですか、またはこのスタイルをアップグレードした後でも存在するのはなぜですか？ 編集30.9.2017 contact 7プラグインとの間に競合があり、エラーDisable REST APIが401 unauthorized発生することに気付きました。 contact 7フォームからメッセージを送信しようとすると、リクエストが行われます wp-json/contact-form-7/v1/contact-forms/258/feedback それを無効にすることは良い考えではありません。

28 security  rest-api 

一定の時間が経過すると、WPはすべてのユーザーをログアウトし、強制的に再度ログインさせます。私のローカルマシンの開発環境では、これは不快で絶対に不要です。 自動ログアウトを無期限に無効にするAPI駆動の方法はありますか？理想的にはwp-config.php、他の開発セットアップ関連の設定とともに追加できるものが欲しいです。 プラグインは私にとってはやりすぎなので、私はそれを答えとは考えませんが、オプションとして投稿することもできます。

28 security  wp-admin  login 

wp-login.phpのURLを変更する方法はありますか？Wordpressを使用したことがあるすべての人があなたのサイトがそれを使用しているかどうかを簡単に確認し、ログインページに直接アクセスすることは安全ではないようです。 以前は「ステルスログイン」と呼ばれるプラグインがありましたが、更新されていませんでした。（したがって、プラグインに依存することをreします）。

26 login  security 

xmlrpc.phpファイルが不要なときにWordPressから削除する最良の方法は何ですか？

25 security  content  xml-rpc  customization 

現在のところ、この質問はQ＆A形式には適していません。回答は、事実、参考文献、または専門知識によってサポートされると予想されますが、この質問は、議論、議論、世論調査、または広範な議論を求める可能性があります。この質問を改善し、場合によっては再開できると思われる場合は、ヘルプセンターをご覧ください。 7年前に閉鎖されました。 この質問で提案されているように、プラグイン/テーマセキュリティのベストプラクティスに関するコミュニティディスカッション/投票のために、このトピックを新しい質問として追加しています。 テーマの確認に使用する現在の（進行中の）設定/データセキュリティチェックリストに基づく開始チェックリストを以下に示します（原則はプラグインでもテーマと同じである必要があります）。 安全でしっかりとコード化されたテーマ設定ページでテーマをチェックアウトしたい場合は、このテーマをチェックアウトしてください：http : //wordpress.org/extend/themes/coraline

22 plugins  themes  security 

違いは何ですか、どちらを使用する必要がありますか？ 私はwp_verify_nonceが時間制限をチェックし、check_admin_refererがwp_verify_nonceを呼び出し、管理URLセグメントをチェックしていることを知っていますが、どのセグメントをいつ使用すべきかについて少し混乱しています。 明快にありがとう。

21 admin  security  nonce