タグ付けされた質問 「security」

ワードプレスのブログを保護しようとしています。私は自分のを変更してtable_prefix非表示にする必要のあるWeb上のいくつかの投稿を読みましたwp-config.php。しかし、私はそれを得ませんか？攻撃者は私の何をすることができwp-config.phpますか？ 私は私のデシベルの構成がある意味ではなく、攻撃者は私を必要とするDB_HOST私のDBに接続するために、簡単に取得すること（私の場合そのではないが、例えば、のために：？ define('DB_HOST', 'localhost');、攻撃者は自分のDBへの接続に使用することができませんでした） それとも私はsthを欠いていますか？ 返信ありがとうございます！

11 plugins  security  wp-config 

最初の状況 私が設定しているサイトでは、アップロード/ダウンロードを保護し、ユーザーの役割/機能に基づいてそれらへのアクセスを制限するという分野全体を調べていました。もちろん、私はここで（一般的な）トピックに関連する以前の質問のいくつかを読みました。参照の理由から、私が見つけた最も重要で興味深いものを参照します。 ユーザーがログインしていない場合にアップロードを保護する方法 アップロードされたファイルへのアクセスを制限するには？ 特定のフォルダ内のファイルへのアクセスを制限する メディアのアップロードをプライベートにする方法は？ PHPダウンロードスクリプトを `functions.php`にマージ 補足事項 一般に、ワードプレスのインストールのセキュリティをさらに向上させることは悪い考えではありません-たとえば、あなたの保護wp-config.php-あなたができる、そしてすべきことはたくさんあります。やり方はたくさんあります。私は主に私のアップロード/ダウンロードについて懸念しているこの質問のコンテキストにいます。 WordPressのアップロードは保護されていません。uploads次のようにして防止しない限り、誰でもフォルダを参照できます.htaccess。 Options All -Indexes .htaccessファイルには、内側に配置する必要があるuploadsフォルダ。しかし、それはそれらを実際に保護することではなく、単にファイルを見つけることを難しくします。さらにhotlinking、に基づいて本質的にアクセスを制限することもできますreferrer-これは少し異なるケースですが、私はそれについて言及しましたが、これ以上詳しく説明しませんが、それに関する多くの情報を見つけることができます。 もちろん、投稿を非公開にしたり、適切なテンプレートファイルを使用してカスタム投稿タイプを作成したりして、その投稿タイプを非公開にすることもできますが、これはファイルを保護しません。is_user_logged_in()またはのような条件文でファイルをラップする場合も同様is_admin()です。 余談ですが、ファイルを安全に保護することを約束しているプラ​​グインはたくさんありますが、それらの多くはそうするふりをしているだけです。その理由のいくつかは上記にあります。誰もが知っているわけではないと確信しているので、私はそれを指摘しているだけなので、注意してください。 目的 私の意図は、（一部の）アップロードとダウンロードへのアクセスを制限できるようにすることでした。そして、偶然ではなく、または誰かがファイル名を知っている場合を除いて、不要な人がアクセスできないようにするために、ファイルは本当にプライベートで安全でなければなりません。結局のところ、特定の人だけが例外なくアクセスできるはずです。 さらに、私はサイト全体を民営化する必要はありませんでした。実際、それは逆効果です-それは公開プレゼンテーションの目的で使用されます。さらに、私はこのソリューションを簡単に使用できるようにしたいと考えました。これは、よくあることですが、それを扱う人々の一部が正確にはコンピュータの専門家ではないという単純な理由のためです。 質問 したがって、質問は、（一部の）アップロードとそれぞれのダウンロードへのアクセスを制限する（比較的）簡単な方法はありますか？そして、私が実施したように、それは本当にそれらを保護し、安全にする方法を意味しますか？

11 uploads  attachments  security  private  content-restriction 

これはおそらくnoobの質問ですが、私に聞いてください。Nonceを使用してスクラッパー（phpcurlスクラッパーなど）などから保護することは重要ではありませんか？しかし、私のNonceは次のようにドキュメントの先頭に出力します。 /* <![CDATA[ */ var nc_ajax_getpost = { ...stuff... getpostNonce: "8a3318a44c" }; /* ]]> */ だから私が迅速なスクレイパーを構築しているなら、そのページからナンス値を取得し、それを私のPOSTで使用するだけです... ここで何が欠けていますか？

11 security  nonce 

彼らはほとんど同じタイプの仕事をしているようです。そう... esc_html()代わりにsanitize_text_field()いつ使うべきですか？

11 security  sanitization 

私はWPのテーマとプラグインのセキュリティに関する多くの情報を見直しており、テーマとプラグインの属性とHTML値をエスケープする必要があるという概念を理解しています。私が見てきたbloginfo()とecho get_bloginfo()の両方の標準および内部で使用esc_html()またはesc_attr()機能。 Automatticの基本テーマである Genesisと _sはどちらもこれらの値をエスケープしますが、WP独自のcodexテーマ標準ガイドはこれらの値のエスケープについて何も述べていません。私はWPコード（wp-includes/option.php）を調べましたが、渡されget_option()た値が少し無害化されているようですが、プラグインが特定の値を上書きできるフィルターもあるようです。 それを逃れるべきだと私が考えるようになったのはこの事実です。誰かがこれについて教えてくれますか？

10 security  options  escaping  bloginfo 

HTTP APIを介して行われたHTTPリクエストURIをフィルタリングしたい。 ユースケース： WordPressの更新チェックはhttp://api.wordpress.org/core/version-check/1.6/に行きますが、https：//api.wordpress.org/core/version-check/1.6/も機能します。これを常に使用します。 新しいWordPressファイルはhttp://wordpress.org/wordpress-3.4.2.zipから取得されますが、https：//wordpress.org/wordpress-3.4.2.zipも機能します。 リクエストをデバッグして、ローカルサーバーのカスタムドメインに一時的にリダイレクトしたい場合があります。 一部のプラグインは他のサーバーに要求を出しますが、外部サーバーがダウンしたときにこれらの要求を置き換えたいと思います。 未修正のバグ16778（詳細）がまだあるため、更新リクエストは今のところ最も重要なリクエストであり、HTTPSリクエストは中間者攻撃のリスクを低減します。 私は徹底的に検索 し、コアコードを調査しましたが、2年前のNacinのようになりました。 確かにHTTPリクエストのURLをフィルタリングできると思っていましたが、今は見つかりません。 私は何を取りこぼしたか？私は？:)

10 filters  urls  security  updates  http-api 

自分のサーバーでWPを実行したところです。私は物事をこれ以上封鎖しようとはしていません。WP dbに対するdbユーザーの権限はどのようなものですか？

10 mysql  security  permissions  privileges 

私はWordPressのセキュリティに関するブログの記事を多数読んでいますが、誰かがWordPressサイトのセキュリティについて懸念している場合は、セキュリティの専門家が特別な措置を講じることを推奨しています。それらの1つは次のとおりです。 WordPressのセキュリティのヒント： 使用されていない不要なプラグインを削除します。 コード、構造、またはデータベース接続によってセキュリティホールがあるプラグインは、サイトでアクティブ化されている場合でも、サイトにとって致命的となる可能性があります。一方、適切に構造化され、コード化され、安全にdb接続されたプラグインは、非アクティブ化されている場合でもセキュリティホールがない場合があります。では、問題はどこにあるのでしょうか？ 時々使用するプラグインがいくつかあるサイトがあります。実際には削除したくありませんが、不要な場合はサイトから非アクティブ化するだけです。サイトを保護するためにそれらを削除する必要がありますか？そうであれば、なぜですか？

10 plugins  security 

新しいプラグインを投稿しました：パスワードはありません プラットフォームへのログインはデリケートな問題であり、セキュリティホールが存在する可能性のあるものをリリースしたくないので、現在はベータ版というタグを付けています。だからここに私のクエリです： 安全ですか？ セキュリティを確保するために、次のことを行いました。 ユーザー名/パスワードが渡されることはなく、一意のハッシュのみが渡されます。 ハッシュは一度使用されるとデータベースから削除されます。データベースがハッキングされない限り、使用されていない古いハッシュは削除できませんが、大きな問題が発生します。 ハッシュのすべてのデータベースクエリは、XSS攻撃を防ぐためにエスケープされています。 nonceがajax呼び出しに追加されました。 CSRF攻撃を防ぐために、モバイルエンドでnonceと確認が追加されました。 ここでは、それがどのように機能するかについての完全な説明があります。 次のバージョン私はTwitterを介してoauthを実装したいと考えています。iOSが機能しているからです... 事前にご入力いただきありがとうございます。 編集：追加したレイヤーとして、セッションIDチェックを追加して、QRコードログインを開始したブラウザーと同じブラウザーがログインしていることを確認することにしました。

10 plugins  security 

いくつかのAPIを使用したいと考えています。多くのAPIには、機能するために必要な鍵、秘密鍵、およびパスワードが付属しています。WordPressのどこにその情報を保存できますか？誰かがあなたのDBをハッキングできると仮定して、とにかくWordPressがその情報をより安全に保存できるようにしていますか？また、オプションページでキーを更新する必要があるため、これらのキーを頻繁に変更する機能を検討してください。 更新 モサックフォンセカ違反– WordPress革命スライダープラグイン考えられる原因 パナマペーパー：WordPressを介してハッキング可能なメール、Drupalを介してハック可能なドキュメント

10 security  options  password  private 

私はワードプレスの初心者です。非公開リソースを非表示にすることで、ワードプレスマルチサイトのセキュリティを改善したいと考えています。wp-admin、wp-configなど 私の設定は機能しているようですが、この設定が何かを壊す可能性があるかどうかわかりません（コア機能、人気のプラグインなど）。 私の設定は一般的に良いですか？ 私の設定は本当のセキュリティを改善しますか、それとも私の時間を無駄にしていますか？ httpd-vhosts.conf（Apache） # Disallow public access php for .htaccess and .htpasswd files <Files ".ht*"> Require all denied </Files> # Disallow public access for *.php files in upload directory <Directory "/htdocs/wp-content/uploads/"> <Files "*.php"> deny from all </Files> </Directory> # Disallow public access for... <Files "wp-config.php"> order allow,deny deny …

9 htaccess  security  configuration 

ここではセキュリティの知識が不足しているようですが、1つの塩で十分ではないでしょうか。なぜ4つの異なる塩が必要なのですか？ define('AUTH_SALT', 'z(ly|p-aeKf^I~OfOUUIL&Y?C5Z.iu|L}kY%dvclq.h9n`)MlZe6'); define('SECURE_AUTH_SALT', 'NIY8g>=l9y~eV~WLu 3n>UG#3wSl4YfT%;z9`7m9Gk/k_Vn4`ej8'); define('LOGGED_IN_SALT', '<-[R@, I;m%n*9G?CU1a:))pEAa/r5X5@pT`cO2H|c2&x~G<p*3T:-5v<N'); define('NONCE_SALT', 'm(-0:+r0a%z~a:2F;]-geM$9~!4j(q3QdpkmB7;P+ZYYw7Rdy{97fS'); （心配しないでください。値が壊れており、ローカルサイトです。）

9 security 

私たちは持っていたリミットログイン試行今、いくつかの数週間のためにインストールして、WP-adminの/ WP-ログイン時に発生したブルートフォース試行回数はかなり驚くべきです。最初はすべて「Admin」というユーザー名を使った試みでしたが、これは私たちのサイトには存在しないので、私はそれを煩わしいものだと考えましたが、それほど脅威ではありません。しかし、現在、他の名前の付いた管理者ユーザーアカウントでロックアウトが発生しており、攻撃者がこれらのアカウントのユーザー名を推測する方法について完全に理解できなくなっています。 私たちのサイトのコンテンツは特に誰も作成しておらず、これらのユーザー名が公開されている私たちのサイトの他の場所を見つけることができません。 ユーザー名をどのように発見できるかについてのアイデアはありますか？

9 admin  wp-admin  security 

今まで見たことのない奇妙なものに出くわしました。クライアントはかなりアクティブなブログを持っており、スパムから保護するためにAkismet（有料）を使用しています。少なくとも1日に1回、スパムとして正しくマークされているスパムコメントを報告していますがEmpty Spam、エントリをクリックするか手動で選択して削除しようとしても管理ダッシュボードから削除できません。 私はこれに見て、DBエントリが持っていることに気づいたcomment_post_IDの0、私はそれがすべての投稿に添付されていない手段を想定する必要があると思いますどれを、。私は明らかにそれらをDBから手動で削除することができます（そしてそれは正常に動作します）が、これが何であるかについての情報を見つけていません。 コアWPファイルを置き換え（セキュリティ上の問題である可能性があると考えています）、wp-config.phpファイル内のソルト/キーを変更せずに再生成しました。 どんな考えでも大きな助けになるでしょう。ありがとう！ 更新 これは原因である可能性がありますが、それがInMotionハックの結果であるかどうかはわかりません。 これが行われたことです： FTP、MySQLパスワードの変更 データベースに割り当てられた新しいDBユーザーを作成しました のソルト/キーを更新 wp-config.php すべてのWPユーザーパスワードを変更しました コアWordPressファイルを再インストール Akismetはこれがしつこいので、これについてのアイデアはありません（非難しないでください）。

9 comments  database  security 

組み込み関数the_contentはいくつかのフィルターを通過しますが、出力をエスケープしません。HTMLや一部のスクリプトでさえ許可する必要があるため、そうすることは困難です。 出力時に、the_contentはこれらのフィルターを通過するようです（5.0以降）。 add_filter( 'the_content', 'do_blocks', 9 ); add_filter( 'the_content', 'wptexturize' ); add_filter( 'the_content', 'convert_smilies', 20 ); add_filter( 'the_content', 'wpautop' ); add_filter( 'the_content', 'shortcode_unautop' ); add_filter( 'the_content', 'prepend_attachment' ); add_filter( 'the_content', 'wp_make_content_images_responsive' ); (and) add_filter( 'the_content', 'capital_P_dangit' ); add_filter( 'the_content', 'do_shortcode' ); また、単純な文字列置換も行います。 $content = str_replace( ']]>', ']]>', $content ); そして、get_the_contentは、「more」リンクと外国語のバグに関連する小さな処理を行います。 …

8 security