Preguntas etiquetadas con security

Estoy tratando de asegurar mi blog de WordPress. Leí algunas publicaciones en la web que deberían cambiar table_prefixy ocultar mi wp-config.php. Sin embargo, no lo entiendo? ¿Qué podría hacer un atacante con mi wp-config.php? Quiero decir que hay mis configuraciones de base de datos, pero el atacante necesita mi, DB_HOSTpor …

11 plugins  security  wp-config 

Situación inicial Para un sitio que estoy configurando, estaba investigando todo el campo de asegurar cargas / descargas y restringir el acceso a ellos en función de las funciones / capacidades del usuario. Por supuesto, he leído algunas de las preguntas anteriores relacionadas con el tema (general) aquí, por razones …

11 uploads  attachments  security  private  content-restriction 

Esta es probablemente una pregunta novata PERO escúchame, ¿no es el punto de usar Nonce para protegerte de cosas como los scrappers (phpcurl scrappers, etc.)? Pero mi Nonce se imprime en la cabecera del documento así: /* <![CDATA[ */ var nc_ajax_getpost = { ...stuff... getpostNonce: "8a3318a44c" }; /* ]]> */ …

11 security  nonce 

Estoy buscando usar algunas API y muchas vienen con claves, claves secretas y contraseñas necesarias para trabajar. ¿Dónde en WordPress puedes almacenar esa información? Suponiendo que alguien pueda hackear su base de datos, ¿existe WordPress para que guardar esa información sea más seguro? Además, considere la posibilidad de cambiar estas …

11 security  options  password  private 

Parece que hacen casi el mismo tipo de trabajo. Entonces... ¿Cuándo debo usar en esc_html()lugar de sanitize_text_field()?

11 security  sanitization 

He leído muchos artículos del blog de seguridad de WordPress donde los expertos en seguridad recomiendan algunos pasos especiales para tener cuidado cuando alguien está preocupado por la seguridad de su sitio de WordPress. Uno de ellos es: Consejos de seguridad de WordPress: elimine complementos innecesarios que no estén en …

10 plugins  security 

He estado revisando mucha información sobre el tema de WP y la seguridad de los complementos y entiendo el concepto de que debe escapar de los atributos y los valores HTML en los temas y complementos. He visto bloginfo()y echo get_bloginfo()utilizado tanto estándar y dentro de una esc_html()o esc_attr()función. Genesis …

10 security  options  escaping  bloginfo 

Quiero filtrar cualquier URI de solicitud HTTP realizada a través de la API HTTP. Casos de uso: La verificación de actualización de WordPress va a http://api.wordpress.org/core/version-check/1.6/ , pero https://api.wordpress.org/core/version-check/1.6/ también funciona, y quiero para usar esto siempre. El nuevo archivo de WordPress está tomado de http://wordpress.org/wordpress-3.4.2.zip , pero https://wordpress.org/wordpress-3.4.2.zip también …

10 filters  urls  security  updates  http-api 

Acabo de publicar un nuevo complemento: No más contraseñas Actualmente lo tengo etiquetado como beta porque iniciar sesión en una plataforma es un problema delicado y no quiero lanzar algo que pueda tener agujeros de seguridad. Así que aquí está mi consulta: ¿Es seguro? He hecho lo siguiente para garantizar …

10 plugins  security 

Acabo de ejecutar WP en mi propio servidor. No estoy tratando de bloquear las cosas más. ¿Qué permisos debe tener el usuario de db para mi WP db?

10 mysql  security  permissions  privileges 

Soy nuevo en WordPress y quiero mejorar la seguridad de WordPress multisitio al ocultar recursos no públicos, por ejemplo. wp-admin, wp-config, etc. Mi configuración parece funcionar, pero no sé si esta configuración puede romper algo (funciones principales, plug-in popular, etc.) ¿Son buenos mis ajustes en general? ¿Mi configuración mejora la …

9 htaccess  security  configuration 

Supongo que estoy exponiendo cierta falta de conocimiento de seguridad aquí, pero ¿no debería ser suficiente tener una sal? ¿Por qué son necesarias cuatro sales diferentes? define('AUTH_SALT', 'z(ly|p-aeKf^I~OfOUUIL&Y?C5Z.iu|L}kY%dvclq.h9n`)MlZe6'); define('SECURE_AUTH_SALT', 'NIY8g>=l9y~eV~WLu 3n>UG#3wSl4YfT%;z9`7m9Gk/k_Vn4`ej8'); define('LOGGED_IN_SALT', '<-[R@, I;m%n*9G?CU1a:))pEAa/r5X5@pT`cO2H|c2&x~G<p*3T:-5v<N'); define('NONCE_SALT', 'm(-0:+r0a%z~a:2F;]-geM$9~!4j(q3QdpkmB7;P+ZYYw7Rdy{97fS'); (No se preocupe, los valores destrozados y es un sitio local).

9 security 

Hemos tenido intentos de inicio de sesión limitados instalados desde hace algunas semanas, y la cantidad de intentos de fuerza bruta que ocurren en wp-admin / wp-login es bastante sorprendente. Al principio, todos los intentos fueron con el nombre de usuario "Admin", que no existe en nuestro sitio, así que …

9 admin  wp-admin  security 

Me encontré con algo un poco extraño que no había visto antes. Un cliente tiene un blog bastante activo y usa Akismet (pago) para protegerse contra el correo no deseado. Al menos una vez al día, informan un comentario de spam que está marcado correctamente como spam, pero que no …

9 comments  database  security 

La función integrada se the_contentejecuta a través de varios filtros, pero no escapa a la salida. Sería difícil hacerlo, ya que se debe permitir el acceso a HTML e incluso algunos scripts. Al generar, el_contenido parece ejecutarse a través de estos filtros (a partir de 5.0): add_filter( 'the_content', 'do_blocks', 9 …

8 security