Preguntas etiquetadas con security

Tengo un sitio web para el que estamos tratando de ser discretos sobre el hecho de que estamos usando WordPress. ¿Qué pasos podemos tomar para que sea menos obvio? EDITAR: Nota de seguridad importante: Por favor, comprenda que hacer esto perfectamente es imposible según la respuesta de Mark , así …

142 security  customization 

Una de las mejores prácticas de seguridad más comunes en estos días parece estar moviendo wp-config.phpun directorio más alto que la raíz del documento del vhost . Realmente nunca he encontrado una buena explicación para eso, pero supongo que es para minimizar el riesgo de que un script malintencionado o …

135 security  customization  wp-config 

Mi blog de WordPress por diversión en http://fakeplasticrock.com (ejecutando WordPress 3.1.1) fue pirateado: mostraba un <iframe>en cada página así: <iframe src="http://evilsite.com/go/1"></iframe> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> Hice lo siguiente Actualizado a 3.1.3 a través del sistema de actualización de WordPress incorporado Instalé el …

105 security  hacked 

Uso wordpress para un sitio privado donde los usuarios cargan archivos. Utilizo el "WordPress privado" para evitar el acceso al sitio si el usuario no está conectado. Me gustaría hacer lo mismo con los archivos cargados en la carpeta de cargas. Por lo tanto, si un usuario no ha iniciado …

80 media  security  media-library  uploads 

¿Es posible cambiar el nombre de la carpeta wp-admin? Sé que podría cambiarle el nombre, pero a menos que sea compatible con el código, muchas cosas se romperían. Si uso un nombre de carpeta personalizado, lo hará un poco más seguro, seguridad por oscuridad y todo eso.

70 wp-admin  security 

Al escribir complementos de WordPress, a menudo es necesario configurar opciones para qué roles en el sitio tienen acceso a cierta funcionalidad o contenido. Para hacer esto, un desarrollador de complementos debe buscar la lista de roles que existen en el sitio para usar en la opción. Debido a que …

38 security  users  capabilities  user-roles 

Recientemente tuve un problema en el que no pude instalar el complemento WP Smush Pro porque no tengo disponibles las opciones de Instalación manual o Instalación con un clic. Me encontré con esta publicación que sugería ajustar la configuración wp-config.php. Agregué la configuración sugerida, sin embargo, la que parece ser …

36 plugins  security  wp-config  ftp 

¿Puedo evitar la enumeración de nombres de usuario en mi sitio de wordpress? Puedo ver usuarios en este momento usando la herramienta WPScan.

33 security 

Me he encontrado con el siguiente fragmento de temas de vez en cuando: if ( ! defined('ABSPATH')) exit('restricted access'); Está al principio de algunos (¿todos?) Archivos PHP en un tema y se supone que impide el acceso directo al archivo por parte de fuentes nefastas. Veo que esto no está …

31 theme-development  security 

He actualizado mi WordPress a 4.7.1, y después de eso he intentado enumerar a los usuarios a través de la API REST, que debería solucionarse, pero pude recuperar a los usuarios. https://mywebsite.com/wp-json/wp/v2/users Salida: [{"id":1,"name":"admin","url":"","description":"","link":"https:\/\/mywebsite\/author\/admin\/","slug":"admin","avatar_urls":{"24": ... Registro de cambios de la última versión: La API REST expuso los datos del usuario …

28 security  rest-api 

Después de un cierto tiempo, WP cierra la sesión de todos los usuarios y los obliga a volver a iniciar sesión. Para entornos de desarrollo en mi máquina local, esto es desagradable y absolutamente innecesario. ¿Existe una forma basada en API de deshabilitar el cierre de sesión automático indefinidamente? Idealmente, …

28 security  wp-admin  login 

¿Alguna forma de cambiar la url wp-login.php? Parece inseguro que todos los que han usado Wordpress puedan ver fácilmente si su sitio lo está usando y acceder directamente a la página de inicio de sesión. Solía ​​haber un complemento llamado "Inicio de sesión oculto", pero no se actualizó. (Y de …

26 login  security 

¿Cuál es la mejor manera de eliminar el archivo xmlrpc.php de WordPress cuando no lo necesita?

25 security  content  xml-rpc  customization 

Tal como está actualmente, esta pregunta no es adecuada para nuestro formato de preguntas y respuestas. Esperamos que las respuestas sean respaldadas por hechos, referencias o experiencia, pero esta pregunta probablemente solicitará debate, argumentos, encuestas o discusión extendida. Si cree que esta pregunta se puede mejorar y posiblemente volver a …

22 plugins  themes  security 

¿Cuál es la diferencia, cuál debo usar? Sé que wp_verify_nonce verifica el límite de tiempo, y check_admin_referer creo que llama a wp_verify_nonce y también busca un segmento de URL de administrador, pero estoy un poco confundido sobre cuál debo usar y cuándo. Gracias por la claridad

21 admin  security  nonce