wordpress网站终极防黑手册，全方位保护网站安全（二）

　　接着上一篇文章《wordpress网站终极防黑手册，全方位保护网站安全(一)》继续谈谈wordpress系统的一些已知安全隐患。老鸟级别的wordpress站长一定知道不管在任何版本的wordpress程序上作者存档页面的固定链接都是不能修改的，而且一旦站长开启伪静态后，只要直接访问

　　abc.com/?author=$id

　　(PS：id为用户的数字id)

　　则wordpress会直接转跳到

　　abc.com/author/用户帐号/

　　这种形式的链接，这将直接暴露出网站用户的登录帐号，存在着一定的安全隐患。(PS：管理员的ID都是1-5这五个数字，直接一试管理员帐号就暴露了，然后密码字典你懂的。)

　　查看wordpress源文件发现作者存档页面链接是这样获取的：

　　/**

　　* Retrieve the URL to the author page for the user with the ID provided.

　　* @since 2.1.0

　　* @uses $wp_rewrite WP_Rewrite

　　* @return string The URL to the author's page.

　　function get_author_posts_url($author_id, $author_nicename = '') {

　　global $wp_rewrite;

　　$auth_ID = (int) $author_id;

　　$link = $wp_rewrite->get_author_permastruct();

　　if ( empty($link) ) {

　　$file = home_url( '/' );

　　$link = $file . '?author=' . $auth_ID;

　　} else {

　　if ( '' == $author_nicename ) {

　　$user = get_userdata($author_id);

　　if ( !empty($user->user_nicename) )

　　$author_nicename = $user->user_nicename;

　　}

　　$link = str_replace('%author%', $author_nicename, $link);

　　$link = home_url( user_trailingslashit( $link ) );

　　}

　　$link = apply_filters('author_link', $link, $author_id,$author_nicename);

　　return $link;

　　}

　　那么只要重写下规则即可改变作者存档页面的链接，这里以作者ID为例：(将以下代码加入到functions.php文件)

　　add_filter( 'request', 'v7v3_author_link_request' );

　　function v7v3_author_link_request( $query_vars ) {

　　if ( array_key_exists( 'author_name', $query_vars ) ) {

　　global $wpdb;

　　$author_id=$query_vars['author_name'];

　　if ( $author_id ) {

　　$query_vars['author'] = $author_id;

　　unset( $query_vars['author_name'] );

　　}

　　return $query_vars;

　　}

　　add_filter( 'author_link', 'v7v3_author_link', 10, 2 );

　　function v7v3_author_link( $link, $author_id) {

　　global $wp_rewrite;

　　$author_id = (int) $author_id;

　　$link = $wp_rewrite->get_author_permastruct();

　　if ( empty($link) ) {

　　$file = home_url( '/' );

　　$link = $file . '?author=' . $author_id;

　　} else {

　　$link = str_replace('%author%', $author_id, $link);

　　$link = home_url( user_trailingslashit( $link ) );

　　}

　　return $link;

　　}

　　再次访问

　　abc.com/?author=$id

　　则转跳到

　　abc.com/author/$id

　　这样一来就不会暴露网站用户以及管理员账号了。

　　本文由wordpress主题教程网：http://v7v3.com 原创，原文地址：http://v7v3.com/wpjiaocheng/201310351.html 转载请注明出处谢谢!

今天，凯基证券的分析人Ming-Chi Kuo预测，除了发布iPhone6s和iPhone6s Plus之外，苹果可能在今年晚些时候将有一些动作，特别是将为Apple Watch系列增添新成员。　　　

百度知道推广是目前很基本的一种推广方式，但由于百度知道的权重高，排名也靠前，所以得到了很多网络推广者的重视。特别是对于那种客户群只可以是通过搜索引擎查到产品信息的产品来说(像论坛软件、微博软件、新闻软

公司之前新来了个前端美工，刚刚毕业只是对代码的含义上有点了解，对于seo却没有接触过，所以基本上每做完一套页面我就要来修改很多地方，在做网站的时候有的美工前端以及程序员网站可能做得很熟练，但是有一部分

网站到底做的百度搜索引擎怎样，到底实地的效果怎样，很多人都依赖百度权重，那么百度权重到底是什么，到底可以给我们带来什么样的帮助。那么我们在对搜索引擎认知时候应该注意什么。今天我给大家说说。　　一、百度

商场如战场，在产品同质化无法避免的今天，公开撕逼无疑是赢得品牌曝光率、快速集聚人气的营销手段。纵观近年一些品牌与友商的撕逼，有的效果显著，让品牌更加深入人心，有的没能达到预期效果，还有的对品牌造成负面

有人会问：我想创业，但是我现在没有工作，没有收入，我也没什么经验、也搞不到资金、也没什么技术，我该怎么办?　　现实中，也有人问我这样的问题?事实是，任何高人也不可能立刻让你有钱。而我的答案和建议是拿你

3 月 16 日，京东推出的社区服务拍到家正式在苹果应用商店上线。　　目前，拍到家主打的是在 3 公里范围内、2 小时送货上门的生鲜、超市商品、外卖和鲜花配送服务，对于下午上着班想吃些零食，或是晚上约

滴滴三个新变化：平台坑人，乘客耍赖，司机还债？在2018年的网约车市场，即使已经快接近年末，关于滴滴出行的话题一直都没断过。国庆后整改归来的滴滴，依然没有能够满足司机、用户的整体解决方案，顺风车什么

内容搜索

凡夫网赚网搜索万能搜索

热搜：地位幽魂受益匪浅不开服务质量我国五金人话全部一年前

举报文章（ID：13954）

【文章标题：wordpress网站终极防黑手册，全方位保护网站安全（二）】

好文打赏，给Ta鼓励！打赏文章（ID：13954）

【文章标题：wordpress网站终极防黑手册，全方位保护网站安全（二）】

wordpress网站终极防黑手册，全方位保护网站安全（二）

热门阅读

图片推荐

品味大提升：AppleWatch运动版或添金色

博洋百度知道软件分享：百度知道排名到底由哪些决定因素？

网页标签在seo优化当中的一些用法

百度权重是什么有什么作用

如何优雅地进行撕逼营销

没资金、没人脉、没经验，却想创业的看过来！

京东一小时送货上门，但东西和你想的可能不一样

滴滴三个新变化：平台坑人，乘客耍赖，司机还债？

你是怎么知道非凡网赚网的？