Проблема Некоторые замечания по настройкам безопасности и исходному коду

[explorer]

Так как я занимаюсь вёрсткой сайтов, то конечно и элементы безопасности присутствуют в моей работе, и чистота исходного кода.
Сделав поверхностный просмотр ресурса codeby, хочу обозначить несколько замечаний админам:

1. Удалите файл readme.html
2. Удалите файл license.txt
Оба этих файла будут появляться при каждом обновлении вордпресс, каждый раз их удалять.
3. Уберите вывод версии в исходном коде - WordPress 4.9.8
4. Удалите вывод s.w.org, emojis и прочий мусор
5. Это уже куда серьёзней:

Заблокируйте доступ к json, иначе все админы как на ладони

Если что пишите, помогу с отключением мусора и пр.

 

[Citizen0]

Рекомендации от авторов wpscan

Ссылка скрыта от гостей

 

[explorer]

Так как я занимаюсь вёрсткой сайтов, то конечно и элементы безопасности присутствуют в моей работе, и чистота исходного кода.
Сделав поверхностный просмотр ресурса codeby, хочу обозначить несколько замечаний админам:

1. Удалите файл readme.html
2. Удалите файл license.txt
Оба этих файла будут появляться при каждом обновлении вордпресс, каждый раз их удалять.
3. Уберите вывод версии в исходном коде - WordPress 4.9.8
4. Удалите вывод s.w.org, emojis и прочий мусор
5. Это уже куда серьёзней:

Заблокируйте доступ к json, иначе все админы как на ладони

Посмотреть вложение 22389

Если что пишите, помогу с отключением мусора и пр.

Данные и другие недостатки были пофиксины, что не может не радовать. Однако выяснил, что папку wp-content можно беспрепятственно скачать, а там... темы, плагины, и пр. - знай изучай файлы, думай что с ними дальше можно сделать, в общем небезопасно.
Тему kalium назвали )
Да и список пользователей с id без авторизации на сайте получить также можно.

Просьба админам закрыть доступ к wp-content не особенно затягивая. Найду если ещё чего долгими осенними вечерами, сообщу.

 

[explorer]

Сбор мэйл на форуме так же прекрасно работает - находка для спамеров. Нужно ставить защиту.

Чувствую, пора мне записаться в школу Codeby, тогда я смогу больше.

 

[Citizen0]

но зачем тогда хайд?

Где Вы его нашли? На форуме уже давно нет бибикода HIDE.
А спойлер - это другое.

 

[explorer]

Где Вы его нашли? На форуме уже давно нет бибикода HIDE.
А спойлер - это другое.

Я имел ввиду спойлер, говоря хайд. Для незарегистрированных пользователей ведь под спойлером ничего не видно, а значит скрыто, то есть HIDE

 

[Citizen0]

Для незарегистрированных пользователей ведь под спойлером ничего не видно,

С чего бы? Все видно.

 

[explorer]

С чего бы? Все видно.

Извиняюсь, это у меня уже взрыв могза - спойлер действительно доступен, но недоступны аттачи

 

[explorer]

JavaScript анализируется при начальной загрузке страницы, на форуме целая куча скриптов, и они пытаются грузиться одновременно, что замедляет открытие основного контента. Нужно загружать скрипты асинхронно. Вопрос решается просто:

В файле functions.php нужно добавить следующий код

// асинхронный javascript
function wcs_defer_javascripts ( $url ) {
if( is_admin() ) return $url;
if ( FALSE === strpos( $url, '.js' ) ) return $url;
if ( strpos( $url, 'jquery.js' ) ) return $url;
return "$url' defer='defer";
}
add_filter( 'clean_url', 'wcs_defer_javascripts', 11, 1 );

 

[explorer]

Вчера пропарсил форум, получил порядка 540 000 ссылок (около 6 часов ушло, объём приличный)
Битых ссылок 772 штуки - надо почистить базу, мусор копится потихоньку...