虽然我们试图积极预防安全问题,但我们并不认为它们永远不会出现。
标准做法是 负责任地私下披露 供应商(WordPress 核心 核心是运行WordPress所需的一组软件。 核心开发团队构建WordPress。 在本例中是开发团队)在公开之前发现安全问题,以便准备修复程序,并将漏洞造成的损害降至最低。
A类 安全问题 安全问题是一种可能影响WordPress安装安全性的错误。 具体来说,它是一个关于你在WordPress核心代码中发现的一个bug的报告,你已经确定它可以用于获得对运行WordPres的站点的某种级别的访问权限,而你不应该拥有这种访问权限。 是一种类型 缺陷 错误是错误或意外结果。 性能改进、代码优化和被视为增强,而不是缺陷。 功能冻结后,只处理错误,回归(与前一版本相反的更改)是最高优先级。 可能会影响WordPress安装的安全性。
具体来说,它是一个关于你在WordPress核心代码中发现的一个bug的报告,你已经确定它可以用于获得对运行WordPres的站点的某种级别的访问权限,而你不应该拥有这种访问权限。
您的网站正在“ 砍 “是 不 安全问题。 安全问题包括了解攻击者是如何进入并黑客入侵网站的。 如果您有攻击的详细信息,请联系我们。如果没有,请联系 支持论坛 是报告此类问题最合适的地方。
您忘记密码或无法访问您的网站是 不 安全问题。 如果你因为WordPress代码中的错误而失去了访问权限,那么这可能是一个安全问题。
通常,安全问题是复杂的问题。 如果你想报告一个安全问题,那太棒了! 你来对地方了。 但是,请确保您报告的内容是 事实上 安全问题。 您要报告的专家非常忙,通常不会对非安全问题做出响应。
安全报告系统不提供支持。 不要把一般问题发到那里。
如果您在这里报告任何类型的安全问题 托管在上的网站 WordPress网站 那么请 在Automatic HackerOne页面上提交报告 。如果您试图报告的问题是关于 WordPress网站 WordPress代码的在线实现,允许您立即访问新的WordPres环境来发布内容。 WordPress.com是Automatic旗下的一家私人公司,拥有世界上最大的多网站。 如果你以前从未接触过WordPress,那么这里无疑是开始写博客的最佳地点。 https://wordpress.com/ 和是 不 出现安全问题,请使用 支持论坛 而不是。
如果您对自己的自托管有问题 WordPress网站 用户创建和共享WordPress代码的社区站点。 您可以在这里下载WordPress核心、插件和主题的源代码,以及社区对话和组织的中心位置。 https://wordpress.org/ 是的站点 不 出现安全问题,请使用WordPress.org 支持论坛 .
有关WordPress插件的安全问题,请参阅 报告插件安全问题 .
针对WordPress自托管版本的安全问题 ,在 WordPress黑客一页 。尽可能多地包含细节。 拜托 始终使用HackerOne而不是Core Trac公司 Edgewall Software的一个开源项目,用作WordPress的错误跟踪和项目管理工具。 ,即使该漏洞仅存在于 大旅行箱
,或a 贝塔 一种预先发布的软件,分发给大量用户在真实条件下进行试用。 Beta版已经在内部进行了alpha测试,在外观、感觉和功能上与最终产品相当接近; 然而,设计更改经常作为过程的一部分发生。 / 钢筋混凝土 作为版本发布周期的最后阶段之一,该版本向公众发出了最终发布的信号。 另请参见 α(β) . 发布,因为有些站点在生产中运行这些。
在所有情况下,您都应该 不 与其他人共享详细信息,直到错误修复程序正式发布给公众。
WordPress网站 不承载站点。 WordPress网站 提供任何人都可以下载和使用的发布软件。 该组织, WordPress网站 ,无法控制谁使用软件或如何使用软件。换句话说, WordPress网站 无权删除评论、帖子、网站或任何其他内容。
与其尝试联系WordPress,不如执行 查找谁 追踪特定网站的运营商或主机,然后向这些组织报告侵权行为。
如果您仍然无法确定组织,以下《今日剽窃》的文章可能会有所帮助:
你应该做的事情:
具有管理员或编辑器的用户 角色 允许发布未筛选的 HTML格式 超文本标记语言。 主要用于在web浏览器中输出内容的语义脚本语言。 在文章标题、文章内容和评论中,并将HTML文件上载到媒体库。 毕竟,WordPress是一种发布工具,人们需要能够包含他们需要交流的任何标记。 不允许权限较低的用户(作者和参与者)发布未过滤的内容或上传HTML文件。
如果您正在对WordPress进行安全测试,请使用特权较低的用户,以便过滤所有内容。 如果您担心管理员或编辑将XSS放入内容并窃取Cookie,请注意所有Cookie都标记为 超文本传输协议 HTTP是超文本传输协议的缩写。 HTTP是万维网使用的底层协议,该协议定义了消息的格式和传输方式,以及Web服务器和浏览器应对各种命令应采取的操作。 仅交付,并被划分为特权cookie,用于 管理员 (和超级管理员) 页面,以及用于面向公众的页面的未经授权的cookie。 内容从未在管理仪表板中未经筛选显示。
在WordPress中 多点会议 用于描述WordPress安装,该安装包含多个博客网络,按站点分组。 此安装类型具有共享用户表,并为每个博客创建单独的数据库表(wp_posts变为wp_0_posts)。 另请参见 网络 , 博客 , 网站 ,只有超级管理员可以发布未筛选的HTML,因为所有其他用户(包括站点管理员)都被视为不受信任。
要对所有用户(包括管理员)禁用未筛选的HTML,可以添加 define('DISALLOW_UNFILTERED_HTML',true);
到 wp-config.php
.
WordPress项目不认为用户名或用户ID是私有或安全信息。 用户名是您在线身份的一部分。 这意味着识别,而不是验证,你说的是谁。 验证是密码的工作。
例如,这包括通过 REST API用户终结点 , GET/wp-json/wp/v2/users
。将其公开是有意的。
一般来说,人们并不认为用户名是秘密的,通常会公开分享。 此外,许多主要的在线机构,如谷歌和脸书,已经取消了用户名,取而代之的是电子邮件地址,这些地址可以不断自由地共享。 WordPress也采用了这种方式,从4.5版开始,用户可以使用电子邮件地址或用户名登录。
WordPress没有试图隐藏公共标识符,而是试图通过用户界面和教育来鼓励用户选择强密码。
请注意,WordPress并不是唯一 开源 开放源代码是指原始源代码可以免费获得,并且可以重新发布和修改的软件。 开源**必须**通过许可模式交付,请参阅GPL。 计划相信这一点。 Drupal对同一件事有类似的论点。
这是服务器配置问题。 从不启用 显示_错误
在上 生产现场 生产站点是供访问者查看的在线实时站点,而不是用于开发或测试的站点。 .
如果你收到一封邮件说“有人要求重置以下站点和用户名的密码”,这意味着有人访问了你站点上的密码重置页面。 任何人都可以访问这个页面,因为它必须对所有人开放,这样密码丢失的人才能访问它。 只有能够阅读您的电子邮件的人才能重置您的密码。 如果您的电子邮件帐户未被泄露,您可以忽略此电子邮件。
上次更新时间: 2024年8月7日
手册导航