• 免费注册
  • 安全登录
    • 首 页
    赚钱大厅 产品推广
    管理面板
    网赚论坛
    网赚学院
    网赚导航
    创业项目
    积分商城
    会员中心
    导航
    当前位置:首页wordpress网站终极防黑手册,全方位保护网站安全(二) 举报文章

    wordpress网站终极防黑手册,全方位保护网站安全(二)

    作者:admin    来源:用户投稿    时间:2015.6.11   

      接着上一篇文章《wordpress网站终极防黑手册,全方位保护网站安全(一)》继续谈谈wordpress系统的一些已知安全隐患。老鸟级别的wordpress站长一定知道不管在任何版本的wordpress程序上作者存档页面的固定链接都是不能修改的,而且一旦站长开启伪静态后,只要直接访问

      abc.com/?author=$id

      (PS:id为用户的数字id)

      则wordpress会直接转跳到

      abc.com/author/用户帐号/

      这种形式的链接,这将直接暴露出网站用户的登录帐号,存在着一定的安全隐患。(PS:管理员的ID都是1-5这五个数字,直接一试管理员帐号就暴露了,然后密码字典你懂的。)

      查看wordpress源文件发现作者存档页面链接是这样获取的:

      /**

      * Retrieve the URL to the author page for the user with the ID provided.

      *

      * @since 2.1.0

      * @uses $wp_rewrite WP_Rewrite

      * @return string The URL to the author's page.

      */

      function get_author_posts_url($author_id, $author_nicename = '') {

      global $wp_rewrite;

      $auth_ID = (int) $author_id;

      $link = $wp_rewrite->get_author_permastruct();

      if ( empty($link) ) {

      $file = home_url( '/' );

      $link = $file . '?author=' . $auth_ID;

      } else {

      if ( '' == $author_nicename ) {

      $user = get_userdata($author_id);

      if ( !empty($user->user_nicename) )

      $author_nicename = $user->user_nicename;

      }

      $link = str_replace('%author%', $author_nicename, $link);

      $link = home_url( user_trailingslashit( $link ) );

      }

      $link = apply_filters('author_link', $link, $author_id,$author_nicename);

      return $link;

      }

      那么只要重写下规则即可改变作者存档页面的链接,这里以作者ID为例:(将以下代码加入到functions.php文件)

      add_filter( 'request', 'v7v3_author_link_request' );

      function v7v3_author_link_request( $query_vars ) {

      if ( array_key_exists( 'author_name', $query_vars ) ) {

      global $wpdb;

      $author_id=$query_vars['author_name'];

      if ( $author_id ) {

      $query_vars['author'] = $author_id;

      unset( $query_vars['author_name'] );

      }

      }

      return $query_vars;

      }

      add_filter( 'author_link', 'v7v3_author_link', 10, 2 );

      function v7v3_author_link( $link, $author_id) {

      global $wp_rewrite;

      $author_id = (int) $author_id;

      $link = $wp_rewrite->get_author_permastruct();

      if ( empty($link) ) {

      $file = home_url( '/' );

      $link = $file . '?author=' . $author_id;

      } else {

      $link = str_replace('%author%', $author_id, $link);

      $link = home_url( user_trailingslashit( $link ) );

      }

      return $link;

      }

      再次访问

      abc.com/?author=$id

      则转跳到

      abc.com/author/$id

      这样一来就不会暴露网站用户以及管理员账号了。

      本文由wordpress主题教程网:http://v7v3.com 原创,原文地址:http://v7v3.com/wpjiaocheng/201310351.html 转载请注明出处谢谢!

    好文打赏,给Ta鼓励
    扫一扫用手机阅读本文
    Tags:网站  终极  防黑  黑手  手册  全方位  方位  保护  保护网  安全  
    • 相关搜索
    热门阅读
    图片推荐
      企业号能用微信支付了 未来可发工资

      企业号能用微信支付了 未来可发工资

      [摘要]开通微信支付功能后企业号将拥有两项最基本也是最重要的的能力收款和付款。  腾讯科技讯(余一)6月24日,微信团队表示,已认证的企业号可以在企业号管理平台的服务中心-微信支付入口里申请开通微信支
      如何进行视频网站网络营销引流

      如何进行视频网站网络营销引流

      近几年视频直播网站做得是风声水起,日进斗金。据消息称:六间房、YY、网易BOO、斗鱼、秀90这类的大型直播网站年营业额都高达几个亿之多,分别是5亿、2.5亿、1.5亿、5000万、3000万,市值就不
      如何利用微信导航站和微信群站加粉

      如何利用微信导航站和微信群站加粉

      说到微信加好友,方法很多,通过图片水印、通过推广二维码、通过QQ群、通过附近的人、通过微博、通过软文推广、通过活动等等,介绍这些方法的文章有很多,这里不再过多说明。不要嫌慢,也不要嫌麻烦,在你抱怨的时
      从papi酱拍卖广告初夜权说起 网红的9个大胆随想

      从papi酱拍卖广告初夜权说起 网红的9个大胆随想

      关于Papi酱获得了包括逻辑思维及各种基金联合1200万元投资的朋友圈已经被刷爆了。坤鹏论在这两天简直要被这件事给轰炸残废了!脑浆沸腾,浮想连篇,现在记录下来,与大家分享!  随想一:中国网红的标志性
      微商营销群体划分 两类人群占据朋友圈微商

      微商营销群体划分 两类人群占据朋友圈微商

      微信朋友圈的本质就是一个社交群,被发现有利可图的人炒出了微商,微商起于代购和达人推荐,兴于面膜,最后毁于代理。但这并不代表微商不应该存在,只是需要一个过程去磨合,以一种完善的形式存在下去。  面膜事件
      美国加州VPS主机推荐

      美国加州VPS主机推荐

      美国加州VPS主机是指服务器位于美国加州的机房或数据中心。从地理位置来说,加州距离国内近,位于该地机房的服务器在国内访问很快,再加上免备案、资源足等优势,理所当然的成为国内用户较为青睐的建站空间。美国
    你是怎么知道非凡网赚网的?
  •   
    • 联系QQ 邮箱:976382653@qq.com 微信:976382653
     在线留言
    发布软文
    广告自助购
    文章调用
    常见问题
    保存到桌面