Fortalecimiento de temas, complementos e instalación principal para evitar intrusiones.
Tengo un sitio web para el que estamos tratando de ser discretos sobre el hecho de que estamos usando WordPress. ¿Qué pasos podemos tomar para que sea menos obvio? EDITAR: Nota de seguridad importante: Por favor, comprenda que hacer esto perfectamente es imposible según la respuesta de Mark , así...
Una de las mejores prácticas de seguridad más comunes en estos días parece estar moviendo wp-config.phpun directorio más alto que la raíz del documento del vhost . Realmente nunca he encontrado una buena explicación para eso, pero supongo que es para minimizar el riesgo de que un script...
Mi blog de WordPress por diversión en http://fakeplasticrock.com (ejecutando WordPress 3.1.1) fue pirateado: mostraba un <iframe>en cada página así: <iframe src="http://evilsite.com/go/1"></iframe> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
Uso wordpress para un sitio privado donde los usuarios cargan archivos. Utilizo el "WordPress privado" para evitar el acceso al sitio si el usuario no está conectado. Me gustaría hacer lo mismo con los archivos cargados en la carpeta de cargas. Por lo tanto, si un usuario no ha iniciado sesión,...
¿Es posible cambiar el nombre de la carpeta wp-admin? Sé que podría cambiarle el nombre, pero a menos que sea compatible con el código, muchas cosas se romperían. Si uso un nombre de carpeta personalizado, lo hará un poco más seguro, seguridad por oscuridad y todo
Al escribir complementos de WordPress, a menudo es necesario configurar opciones para qué roles en el sitio tienen acceso a cierta funcionalidad o contenido. Para hacer esto, un desarrollador de complementos debe buscar la lista de roles que existen en el sitio para usar en la opción. Debido a que...
Recientemente tuve un problema en el que no pude instalar el complemento WP Smush Pro porque no tengo disponibles las opciones de Instalación manual o Instalación con un clic. Me encontré con esta publicación que sugería ajustar la configuración wp-config.php. Agregué la configuración sugerida,...
¿Puedo evitar la enumeración de nombres de usuario en mi sitio de wordpress? Puedo ver usuarios en este momento usando la herramienta
Me he encontrado con el siguiente fragmento de temas de vez en cuando: if ( ! defined('ABSPATH')) exit('restricted access'); Está al principio de algunos (¿todos?) Archivos PHP en un tema y se supone que impide el acceso directo al archivo por parte de fuentes nefastas. Veo que esto no está...
He actualizado mi WordPress a 4.7.1, y después de eso he intentado enumerar a los usuarios a través de la API REST, que debería solucionarse, pero pude recuperar a los
Después de un cierto tiempo, WP cierra la sesión de todos los usuarios y los obliga a volver a iniciar sesión. Para entornos de desarrollo en mi máquina local, esto es desagradable y absolutamente innecesario. ¿Existe una forma basada en API de deshabilitar el cierre de sesión automático...
¿Alguna forma de cambiar la url wp-login.php? Parece inseguro que todos los que han usado Wordpress puedan ver fácilmente si su sitio lo está usando y acceder directamente a la página de inicio de sesión. Solía haber un complemento llamado "Inicio de sesión oculto", pero no se actualizó. (Y de...
¿Cuál es la mejor manera de eliminar el archivo xmlrpc.php de WordPress cuando no lo
Tal como está actualmente, esta pregunta no es adecuada para nuestro formato de preguntas y respuestas. Esperamos que las respuestas sean respaldadas por hechos, referencias o experiencia, pero esta pregunta probablemente solicitará debate, argumentos, encuestas o discusión
¿Cuál es la diferencia, cuál debo usar? Sé que wp_verify_nonce verifica el límite de tiempo, y check_admin_referer creo que llama a wp_verify_nonce y también busca un segmento de URL de administrador, pero estoy un poco confundido sobre cuál debo usar y cuándo. Gracias por la claridad...
Cerrado. Esta pregunta está fuera de tema . Actualmente no está aceptando respuestas. ¿Quieres mejorar esta pregunta? Actualice la pregunta para que sea sobre el tema de WordPress Development Stack Exchange. Cerrado hace 4 años . Instalé el complemento...
Tuve un cliente que fue pirateado recientemente y noté que aparecían personajes extraños en su sitio, como  y Æ. Resulta que los hackers cambiaron el blog_charset a UTF-7 en la wp_optionstabla de la base de datos. Lo configuré de nuevo en UTF-8, pero me preguntaba si durante el tiempo que se...
Actualmente estoy desarrollando un complemento y es muy probable que lo publique en el repositorio de complementos públicos para que otros puedan usarlo. El complemento usará una API y para usar esta API debe pasar un nombre de usuario y contraseña. Por lo tanto, mi complemento necesita almacenar...
Soy nuevo en WordPress. Hace poco leí un artículo sobre cómo los hackers pueden explotar vulnerabilidades en los complementos. Varias fuentes, como Google Pagespeed, también me han disuadido de usar complementos o al menos mantenerlo al mínimo. Personalmente, también trato de evitar los...
Quiero asegurarme de que todos los datos de mis complementos / temas se manejen de forma segura antes de ingresar a la base de datos y antes de enviarlos al navegador. Mi problema es que hay situaciones en las que la API maneja la desinfección por usted, como al guardar metacampos de publicación, y...