Fortalecendo temas, plugins e instalação principal para evitar invasões.
Eu tenho um site para o qual estamos tentando ser discretos sobre o fato de estarmos usando o WordPress. Que medidas podemos tomar para torná-lo menos óbvio? EDIT - Nota importante de segurança: Por favor, entenda que fazer isso perfeitamente é impossível de acordo com a resposta de Mark ,...
Uma das práticas recomendadas de segurança mais comuns atualmente parece estar movendo wp-config.phpum diretório mais alto que a raiz do documento do vhost . Eu realmente nunca encontrei uma boa explicação para isso, mas presumo que seja para minimizar o risco de um script malicioso ou infectado...
Meu divertido blog do WordPress em http://fakeplasticrock.com (executando o WordPress 3.1.1) foi hackeado - ele exibia um <iframe>em todas as páginas da seguinte forma: <iframe src="http://evilsite.com/go/1"></iframe> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"...
Eu uso o wordpress para um site privado onde os usuários enviam arquivos. Eu uso o "WordPress Privado" para impedir o acesso ao site se o usuário não estiver logado. Gostaria de fazer o mesmo com os arquivos enviados na pasta de uploads. Portanto, se um usuário não estiver logado, ele não poderá...
É possível renomear a pasta wp-admin? Eu sei que poderia renomeá-lo, mas, a menos que seja suportado pelo código, muitas coisas iriam quebrar. Se eu usar um nome de pasta personalizado, ele ficará um pouco mais seguro, segurança por obscuridade e tudo
Ao escrever plugins do WordPress, geralmente é necessário configurar opções para quais funções no site têm acesso a determinadas funcionalidades ou conteúdos. Para fazer isso, um desenvolvedor de plug-in precisa buscar a lista de funções que existem no site para usar na opção Como as funções...
Recentemente, tive um problema em que não consegui instalar o plug-in do WP Smush Pro porque não tenho as opções de instalação manual ou instalação com um clique disponíveis. Me deparei com este post que sugeria ajustar as configurações wp-config.php. Eu adicionei as configurações sugeridas, no...
Posso impedir a enumeração de nomes de usuário no meu site wordpress? Eu posso ver os usuários no momento usando a ferramenta
De vez em quando, deparei com o seguinte snippet em temas: if ( ! defined('ABSPATH')) exit('restricted access'); Está no início de alguns (todos?) Arquivos PHP em um tema e deve impedir o acesso direto ao arquivo por fontes nefastas. Vejo que isso não está incluído no Twenty Ten or Eleven e...
Atualizei meu WordPress para 4.7.1e, depois disso, tentei enumerar os usuários por meio da API REST, que deveria ser corrigida, mas consegui recuperar os
Após um certo período de tempo, o WP efetua logout de todos os usuários e os força a efetuar login novamente. Para ambientes de desenvolvimento em minha máquina local, isso é desagradável e absolutamente desnecessário. Existe uma maneira orientada por API de desativar o logoff automático...
Alguma maneira de alterar o URL do wp-login.php? Parece inseguro que todo mundo que já usou o Wordpress possa ver facilmente se o site está usando o site e acessar a página de login. Havia um plug-in chamado "Login furtivo", mas não era atualizado. (E, portanto, nossa relutância em confiar em...
Qual é a melhor maneira de eliminar o arquivo xmlrpc.php do WordPress quando você não
Atualmente, essa questão não se encaixa no nosso formato de perguntas e respostas. Esperamos que as respostas sejam apoiadas por fatos, referências ou conhecimentos, mas essa pergunta provavelmente solicitará debates, argumentos, pesquisas ou discussões prolongadas. Se você acha que...
Qual é a diferença, qual deles devo usar? Eu sei que wp_verify_nonce verifica o limite de tempo, e check_admin_referer, acho que chama wp_verify_nonce, além de verificar se há um segmento de URL de administrador, mas estou um pouco confuso sobre qual devo usar e quando. Obrigado pela clareza....
Fechadas. Esta questão está fora de tópico . No momento, não está aceitando respostas. Deseja melhorar esta pergunta? Atualize a pergunta para que ela esteja no tópico do WordPress Development Stack Exchange. Fechado há 4 anos . Eu instalei o plugin...
Eu tive um cliente que foi hackeado recentemente e notei que havia caracteres estranhos aparecendo no site dela, como  e Æ. Acontece que os hackers alteraram o blog_charset para UTF-7 na wp_optionstabela no banco de dados. Voltei a configurá-lo para UTF-8, mas fiquei imaginando se, durante o...
No momento, estou desenvolvendo um plug-in e as chances são de que provavelmente o lançarei no repositório público de plugins para que outros possam usá-lo. O plug-in usará uma API e, para usá-la, é necessário passar um nome de usuário e senha. Portanto, meu plug-in precisa armazenar essas...
Eu sou novo no WordPress. Li recentemente um artigo sobre como hackers podem explorar vulnerabilidades em plugins. Várias fontes, como o Google Pagespeed, também me dissuadiram de usar plug-ins ou pelo menos o mantiveram no mínimo. Pessoalmente, também tento evitar plugins porque me sinto mais no...
Quero garantir que todos os dados nos meus plugins / temas sejam tratados com segurança antes de entrar no banco de dados e antes de serem enviados ao navegador. Meu problema é que há situações em que a API lida com a higienização para você - como ao salvar os meta-campos de postagem - e outras...