WordPress提高安全性

2021-08-13 14:00:03 other 阅读:936
WordPress安装现在自动创建.htaccess文件。WordPress应该将Options -Indexes添加到.htaccess中,这样未经许可的非实文件/文件夹将得到404错误,而不需要将其置空index.html/索引php。当用户在wordpress站点上运行安全检查时,这也应该消除一些安全注意事项。 在我对wordpress 4.3.1 multisites上的安装运行测试后,Detectify给了我以下警告。 - Cookie未设置为HttpOnly–/wp-登录.php一个或多个cookie缺少标志HttpOnly标志。如果攻击者发现一个XSS,他可能会用它来窃取没有HttpOnly标志的cookies。 - WordPress用户名枚举–>WordPress中的一个缺陷可以枚举注册的用户名。攻击者可以在攻击的另一个步骤中使用此信息,例如对用户尝试公共密码,鱼叉钓鱼或社会工程。 - 内容嗅探这可能会导致XSS攻击,因为浏览器会试图猜测在没有正确策略的情况下如何呈现特定资源。 - 空文档–/wp includes/Text/差异.php直接访问 - 空文档-/工作包/管理员-条形图.php直接访问 - 空文档–/wp包含/category-模板.php直接访问 因此,我建议: 1. 在.htaccess中添加Options -Indexes和Header set X-Content-Type-Options \"nosniff\" 2. 全部删除index.php/索引.html从wordpress目录添加defined( \"ABSPATH\" ) or die( \"No script kiddies please!\" );到php文件头Ref。https://codex.wordpress.org/WritingŠaŠPluginŠPluginŠFiles 谢谢! 嗨, 这些想法听起来很有趣。 我想你应该把它们贴在这里:https://wordpress.org/ideas/WordPress应该在.htaccess中添加选项索引。在.htaccess中添加选项-索引和标题集X-Content-Type-Options\"nosniff\" 并非所有Apache2安装都支持将Options放在.htaccess文件中,这样做在默认情况下会破坏许多站点。它也没有解决一些主机配置Apache2站点不好的重要问题。 编辑:尽管WordPress确实生成了一个.htaccess文件,但不是每个人都应该依赖它。很多人也运行nginx。 WordPress用户名枚举–> 这是一个冗长的讨论,它不是一个缺陷。 模糊的用户名不是安全的,只要问问任何在线社交媒体服务就可以了。它们不会隐藏用户名,这是有充分理由的:你不能保护你的用户名,任何你不能保护的东西都没有必要成为安全策略的一部分。 你应该保护你的密码,而强密码是拒绝未经授权访问的安全解决方案。与那些在线服务一样,您可以通过插件双因素身份验证添加。 内容嗅探这可能会导致XSS攻击,因为浏览器会尝试猜测如何在没有正确策略的情况下呈现特定资源。 值得商榷。您站点上的javascript文件将被下载,设置MIME类型并不是那么困难。 如果您关心开放式身份验证(我不认为您关心),那么SSL是一个有效的选项。 https://codex.wordpress.org/Administrationu Overu SSL 或者将您的站点切换到100%基于SSL(这是TLS,行业标签是愚蠢的)。这也是一个基于服务器的选项,但如果您知道如何操作,这并不难。 Cookie并没有设置为HttpOnly–/wp-登录.php一个或多个cookie缺少标志HttpOnly标志。如果攻击者发现一个XSS,他可能会用它来窃取没有HttpOnly标志的cookie。 WordPress cookie确实被设置为仅HTTP,wp中的\"测试cookie\"除外-登录.php文件。测试cookie只是确定浏览器是否启用了cookie,以便在未启用cookie时显示错误。它不包含可窃取的实际内容,只需短语\"WP Cookie check\"。 空文档–/WP includes/Text/差异.php直接访问 空文档–/wp includes/admin-条形图.php直接访问 空文档–/wp includes/category-模板.php直接访问 WordPress中的许多文件都可以直接访问。这是故意的。任何非入口点(WordPress有多个入口点)都只是函数定义。直接调用它们没有任何作用,因为它们没有主代码路径。如果文件没有可以直接运行的代码,那么添加defined( \"ABSPATH\" ) or die和类似的东西就不会增加安全性。 测试工具,如您提到的\"Detectify\",只与它执行的测试一样好。任何结果都必须由知识渊博的人来解释。安全不是黑与白,不是二元局势。 即使是我为主题作者编写的主题检查工具,其测试集也有缺陷,例如它总是有缺点的。这样一个工具的目的是成为帮助发现和改进问题的工具。它不是一个衡量质量的体系

admin_action_{$_REQUEST[‘action’]}

do_action( "admin_action_{$_REQUEST[‘action’]}" )动作钩子::在发送“Action”请求变量时激发。Action Hook: Fires when an ‘action’ request variable is sent.目录锚点:#说明#源码说明(Description)钩子名称的动态部分$_REQUEST['action']引用从GET或POST请求派生的操作。源码(Source)更新版本源码位置使用被使用2.6.0 wp-admin/admin.php:...

日期:2020-09-02 17:44:16 浏览:1169

admin_footer-{$GLOBALS[‘hook_suffix’]}

do_action( "admin_footer-{$GLOBALS[‘hook_suffix’]}", string $hook_suffix )操作挂钩:在默认页脚脚本之后打印脚本或数据。Action Hook: Print scripts or data after the default footer scripts.目录锚点:#说明#参数#源码说明(Description)钩子名的动态部分,$GLOBALS['hook_suffix']引用当前页的全局钩子后缀。参数(Parameters)参数类...

日期:2020-09-02 17:44:20 浏览:1070

customize_save_{$this->id_data[‘base’]}

do_action( "customize_save_{$this->id_data[‘base’]}", WP_Customize_Setting $this )动作钩子::在调用WP_Customize_Setting::save()方法时激发。Action Hook: Fires when the WP_Customize_Setting::save() method is called.目录锚点:#说明#参数#源码说明(Description)钩子名称的动态部分,$this->id_data...

日期:2020-08-15 15:47:24 浏览:806

customize_value_{$this->id_data[‘base’]}

apply_filters( "customize_value_{$this->id_data[‘base’]}", mixed $default )过滤器::过滤未作为主题模式或选项处理的自定义设置值。Filter Hook: Filter a Customize setting value not handled as a theme_mod or option.目录锚点:#说明#参数#源码说明(Description)钩子名称的动态部分,$this->id_date['base'],指的是设置...

日期:2020-08-15 15:47:24 浏览:898

get_comment_author_url

过滤钩子:过滤评论作者的URL。Filter Hook: Filters the comment author’s URL.目录锚点:#源码源码(Source)更新版本源码位置使用被使用 wp-includes/comment-template.php:32610...

日期:2020-08-10 23:06:14 浏览:930

network_admin_edit_{$_GET[‘action’]}

do_action( "network_admin_edit_{$_GET[‘action’]}" )操作挂钩:启动请求的处理程序操作。Action Hook: Fires the requested handler action.目录锚点:#说明#源码说明(Description)钩子名称的动态部分$u GET['action']引用请求的操作的名称。源码(Source)更新版本源码位置使用被使用3.1.0 wp-admin/network/edit.php:3600...

日期:2020-08-02 09:56:09 浏览:877

network_sites_updated_message_{$_GET[‘updated’]}

apply_filters( "network_sites_updated_message_{$_GET[‘updated’]}", string $msg )筛选器挂钩:在网络管理中筛选特定的非默认站点更新消息。Filter Hook: Filters a specific, non-default site-updated message in the Network admin.目录锚点:#说明#参数#源码说明(Description)钩子名称的动态部分$_GET['updated']引用了非默认的...

日期:2020-08-02 09:56:03 浏览:864

pre_wp_is_site_initialized

过滤器::过滤在访问数据库之前是否初始化站点的检查。Filter Hook: Filters the check for whether a site is initialized before the database is accessed.目录锚点:#源码源码(Source)更新版本源码位置使用被使用 wp-includes/ms-site.php:93910...

日期:2020-07-29 10:15:38 浏览:833

WordPress 的SEO 教学:如何在网站中加入关键字(Meta Keywords)与Meta 描述(Meta Description)?

你想在WordPress 中添加关键字和meta 描述吗?关键字和meta 描述使你能够提高网站的SEO。在本文中,我们将向你展示如何在WordPress 中正确添加关键字和meta 描述。为什么要在WordPress 中添加关键字和Meta 描述?关键字和说明让搜寻引擎更了解您的帖子和页面的内容。关键词是人们寻找您发布的内容时,可能会搜索的重要词语或片语。而Meta Description则是对你的页面和文章的简要描述。如果你想要了解更多关于中继标签的资讯,可以参考Google的说明。Meta 关键字和描...

日期:2020-10-03 21:18:25 浏览:1725

谷歌的SEO是什么

SEO (Search Engine Optimization)中文是搜寻引擎最佳化,意思近于「关键字自然排序」、「网站排名优化」。简言之,SEO是以搜索引擎(如Google、Bing)为曝光媒体的行销手法。例如搜寻「wordpress教学」,会看到本站的「WordPress教学:12个课程…」排行Google第一:关键字:wordpress教学、wordpress课程…若搜寻「网站架设」,则会看到另一个网页排名第1:关键字:网站架设、架站…以上两个网页,每月从搜寻引擎导入自然流量,达2万4千:每月「有机搜...

日期:2020-10-30 17:23:57 浏览:1308