Renforcement des thèmes, des plugins et de l'installation de base pour éviter les intrusions.
J'ai un site Web pour lequel nous essayons d'être discret sur le fait que nous utilisons WordPress. Quelles mesures pouvons-nous prendre pour le rendre moins évident? EDIT- Note de sécurité importante: S'il vous plaît, comprenez qu'il est impossible de le faire parfaitement selon la réponse de Mark...
L'une des meilleures pratiques de sécurité les plus courantes de nos jours semble être de déplacer wp-config.phpun répertoire plus haut que la racine du document de vhost . Je n'ai jamais vraiment trouvé une bonne explication à cela, mais je suppose que c'est pour minimiser le risque qu'un script...
Mon blog WordPress amusant sur http://fakeplasticrock.com (exécutant WordPress 3.1.1) a été piraté - il en montrait un <iframe>sur chaque page comme suit: <iframe src="http://evilsite.com/go/1"></iframe> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"...
J'utilise wordpress pour un site privé où les utilisateurs téléchargent des fichiers. J'utilise le "WordPress privé" pour empêcher l'accès au site si l'utilisateur n'est pas connecté. Je voudrais faire la même chose pour les fichiers téléchargés dans le dossier uploads. Donc, si un utilisateur...
Est-il possible de renommer le dossier wp-admin? Je sais que je pourrais simplement le renommer, mais à moins que cela ne soit pris en charge par le code, beaucoup de choses se briseraient. Si j'utilise un nom de dossier personnalisé, cela le rendra un peu plus sécurisé, sécurité par obscurité et...
Lors de l'écriture de plugins WordPress, il est souvent nécessaire de définir des options pour les rôles du site qui ont accès à certaines fonctionnalités ou contenus. Pour ce faire, un développeur de plug-in doit extraire la liste des rôles existants sur le site à utiliser dans l'option. Étant...
J'ai récemment eu un problème qui m'a empêché d'installer le plug-in WP Smush Pro, car les options d'installation manuelle ou d'installation en un clic ne sont pas disponibles. Je suis tombé sur ce message qui suggérait de peaufiner les paramètres wp-config.php. J'ai ajouté les paramètres suggérés,...
Puis-je empêcher l'énumération des noms d'utilisateur sur mon site wordpress? Je peux voir les utilisateurs en ce moment à l'aide de l'outil
J'ai rencontré de temps en temps l'extrait de code suivant dans les thèmes: if ( ! defined('ABSPATH')) exit('restricted access'); C'est au début de certains (tous?) Fichiers PHP dans un thème et il est censé empêcher l'accès direct au fichier par des sources malveillantes. Je vois que cela n'est...
J'ai mis à niveau mon WordPress vers 4.7.1, et après cela, j'ai essayé d'énumérer les utilisateurs via l'API REST, qui devrait être corrigé, mais j'ai pu récupérer les utilisateurs. https://mywebsite.com/wp-json/wp/v2/users Sortie:
Après un certain temps, WP déconnecte tous les utilisateurs et les force à se reconnecter. Pour les environnements de développement sur ma machine locale, cela est désagréable et absolument inutile. Existe-t-il un moyen piloté par l'API de désactiver indéfiniment la déconnexion automatique?...
Est-il possible de modifier l'URL wp-login.php? Il ne semble pas sûr que tous ceux qui ont déjà utilisé Wordpress puissent facilement voir si votre site l'utilise et accéder directement à la page de connexion. Il existait auparavant un plug-in appelé "Connexion furtive", mais il n'a pas été mis à...
Quelle est la meilleure façon d'éliminer le fichier xmlrpc.php de WordPress lorsque vous n'en avez pas
Dans l'état actuel des choses, cette question ne convient pas à notre format de questions / réponses. Nous nous attendons à ce que les réponses soient étayées par des faits, des références ou une expertise, mais cette question suscitera probablement un débat, des arguments, des sondages ou une...
Quelle est la différence, laquelle dois-je utiliser? Je sais que wp_verify_nonce vérifie la limite de temps, et check_admin_referer, je pense, appelle wp_verify_nonce ainsi que la vérification d'un segment d'URL administrateur, mais je suis un peu confus sur celui que je dois utiliser et quand....
Fermé. Cette question est hors sujet . Il n'accepte pas actuellement de réponses. Voulez-vous améliorer cette question? Mettez à jour la question afin qu'elle soit sur le sujet pour WordPress Development Stack Exchange. Fermé il y a 4 ans . J'ai installé le plugin Simple Login Lockdown et depuis...
J'ai eu un client qui a été piraté récemment et j'ai remarqué que des personnages étranges apparaissaient sur son site, comme  et Æ. Il s'avère que les pirates ont changé le blog_charset en UTF-7 dans la wp_optionstable de la base de données. Je l'ai remis à UTF-8, mais je me demandais si pendant...
Je suis en train de développer un plugin et il y a de fortes chances que je le libère plus que probablement sur le dépôt public de plugins pour que d'autres puissent l'utiliser. Le plugin utilisera une API et pour utiliser cette API, vous devez passer un nom d'utilisateur et un mot de passe. Mon...
Je suis nouveau sur WordPress. J'ai récemment lu un article sur la façon dont les pirates peuvent exploiter les vulnérabilités des plugins. Diverses sources telles que Google Pagespeed m'ont également dissuadé d'utiliser des plugins ou du moins de le garder au minimum. Personnellement, j'essaie...
Je veux m'assurer que toutes les données de mes plugins / thèmes sont traitées en toute sécurité avant d'entrer dans la base de données et avant d'être sorties vers le navigateur. Mon problème est qu'il y a des situations où l'API gère la désinfection pour vous - comme lors de l'enregistrement de...