Безопасный логин в WordPress с использованием nginx

, начиная с версии 2.6, имеет улучшенную поддержку работы с HTTPS.

У администратора есть две возможности:

  1. Использование HTTPS для работы в панели управления (wp-admin).
  2. Использование HTTPS только для входа в систему.

Первое достигается путём добавления строки

[-]
View Code PHP
define('FORCE_SSL_ADMIN', true);

в wp-config., второе — путём добавления строки

[-]
View Code PHP
define('FORCE_SSL_LOGIN', true);

Добавляем одну из этих двух строк в wp-config. и проблема решена? Но в действительности всё не так, как на самом деле :-)
Далее »

Автор: Vladimir, опубликовано в: WordPress, Безопасность, комментариев: нет
5
Дек
2009

oDesk Time Tracker Vulnerabilities

  1. Time Tracker does not verify the certificate of the host it connects to thus becoming vulnerable to various Man-in-the-Middle attacks (if an attacker is able to spoof DNS for team..com — say, by setting up a fake DHCP and DNS servers in the local network — or posion the DNS cache or whatever — this is doable). Далее »
Автор: Vladimir, опубликовано в: Безопасность, комментариев: 2
15
Июнь
2009

WordPress: одновременный логин для HTTP и HTTPS

В , начиная с версии 2.6, встроена поддержка HTTPS: можно сделать либо HTTPS-логин, либо поместить панель администратора за . Однако, из-за особенностей реализации, когда пользователь входит в систему, он получает cookie либо для HTTP, либо для HTTPS. Иными словами, если пользователь попал на http://example.com/wp-admin/, то при переходе на https://example.com/wp-admin/ ему придётся входить в систему еще раз.

Всё бы ничего, но если плагин делает POST на HTTPS, то пользователь попадает на wp-login., который после успешного входа сделает перенаправление (GET) на URL, который ожидает принять POST. При этом если POST шёл на https://example.com/wp-admin/admin.?page=somepage&noheader=1, то пользователь увидит безобразную страницу. Далее »

Автор: Vladimir, опубликовано в: Советы, комментариев: 2
17
Янв
2009