• 免费注册
  • 安全登录
    • 首 页
    赚钱大厅 产品推广
    管理面板
    网赚论坛
    网赚学院
    网赚导航
    创业项目
    积分商城
    会员中心
    导航
    当前位置:首页wordpress网站终极防黑手册,全方位保护网站安全(二) 举报文章

    wordpress网站终极防黑手册,全方位保护网站安全(二)

    作者:admin    来源:用户投稿    时间:2015.6.11   

      接着上一篇文章《wordpress网站终极防黑手册,全方位保护网站安全(一)》继续谈谈wordpress系统的一些已知安全隐患。老鸟级别的wordpress站长一定知道不管在任何版本的wordpress程序上作者存档页面的固定链接都是不能修改的,而且一旦站长开启伪静态后,只要直接访问

      abc.com/?author=$id

      (PS:id为用户的数字id)

      则wordpress会直接转跳到

      abc.com/author/用户帐号/

      这种形式的链接,这将直接暴露出网站用户的登录帐号,存在着一定的安全隐患。(PS:管理员的ID都是1-5这五个数字,直接一试管理员帐号就暴露了,然后密码字典你懂的。)

      查看wordpress源文件发现作者存档页面链接是这样获取的:

      /**

      * Retrieve the URL to the author page for the user with the ID provided.

      *

      * @since 2.1.0

      * @uses $wp_rewrite WP_Rewrite

      * @return string The URL to the author's page.

      */

      function get_author_posts_url($author_id, $author_nicename = '') {

      global $wp_rewrite;

      $auth_ID = (int) $author_id;

      $link = $wp_rewrite->get_author_permastruct();

      if ( empty($link) ) {

      $file = home_url( '/' );

      $link = $file . '?author=' . $auth_ID;

      } else {

      if ( '' == $author_nicename ) {

      $user = get_userdata($author_id);

      if ( !empty($user->user_nicename) )

      $author_nicename = $user->user_nicename;

      }

      $link = str_replace('%author%', $author_nicename, $link);

      $link = home_url( user_trailingslashit( $link ) );

      }

      $link = apply_filters('author_link', $link, $author_id,$author_nicename);

      return $link;

      }

      那么只要重写下规则即可改变作者存档页面的链接,这里以作者ID为例:(将以下代码加入到functions.php文件)

      add_filter( 'request', 'v7v3_author_link_request' );

      function v7v3_author_link_request( $query_vars ) {

      if ( array_key_exists( 'author_name', $query_vars ) ) {

      global $wpdb;

      $author_id=$query_vars['author_name'];

      if ( $author_id ) {

      $query_vars['author'] = $author_id;

      unset( $query_vars['author_name'] );

      }

      }

      return $query_vars;

      }

      add_filter( 'author_link', 'v7v3_author_link', 10, 2 );

      function v7v3_author_link( $link, $author_id) {

      global $wp_rewrite;

      $author_id = (int) $author_id;

      $link = $wp_rewrite->get_author_permastruct();

      if ( empty($link) ) {

      $file = home_url( '/' );

      $link = $file . '?author=' . $author_id;

      } else {

      $link = str_replace('%author%', $author_id, $link);

      $link = home_url( user_trailingslashit( $link ) );

      }

      return $link;

      }

      再次访问

      abc.com/?author=$id

      则转跳到

      abc.com/author/$id

      这样一来就不会暴露网站用户以及管理员账号了。

      本文由wordpress主题教程网:http://v7v3.com 原创,原文地址:http://v7v3.com/wpjiaocheng/201310351.html 转载请注明出处谢谢!

    好文打赏,给Ta鼓励
    扫一扫用手机阅读本文
    Tags:网站  终极  防黑  黑手  手册  全方位  方位  保护  保护网  安全  
    • 相关搜索
    热门阅读
    图片推荐
      “互联网+”行动指南意见 预计下周下发

      “互联网+”行动指南意见 预计下周下发

      [摘要]互联网+终于出了顶层设计,确定的11个重点领域。    本报记者 福蒙蒙 北京报道  互联网+终于出了顶层设计。  6月24日的国务院常务会议,重点议题锁定在了互联网+领域上,除去之前互联网+
      IUNI N1新机曝光 颜色粉嫩造型奇葩价格低

      IUNI N1新机曝光 颜色粉嫩造型奇葩价格低

      国内互联网新兴品牌 IUNI 再度传出换帅消息之后让众粉丝心有凄惶之感,近日 IUNI 一款型号为 N1 的新机通过工信部认证,在工信部神级证件照的还原下我们依然能看出这款手机拥有粉嫩的渐变色外观,另
      史上最全网站建设备案和不备案的一些疑惑问题大全?

      史上最全网站建设备案和不备案的一些疑惑问题大全?

      有很多企业和个人在做网站的时候,都会碰到一个严重的问题,那就是是否需要备案?为什么要备案?备案和不备案有什么区别?备案需要注意什么事情?这些个问题是一系列、一连串的,今天我单独将这三个问题列举出来给予
      站长淘宝客之混搭:seo+QQ群+QQ空间+微薄+邮件

      站长淘宝客之混搭:seo+QQ群+QQ空间+微薄+邮件

      对于有一定技术的站长来说seo是经营淘宝客的主要方式,从选产品、建站、优化,一切都顺利的情况下起码要40天左右的时间。网站做好之后每天抽出2,3个小时的时间写写软文、原创文章,接下来就是痛苦的等待百度
      百度官网认证申请方法和流程

      百度官网认证申请方法和流程

      用了一个月的时间,终于把久闻网的官网认证给拿下来了,希望拿下这个权限的人有很多,但大多都是因为申请失败最后给打回来了,拿着我申请到的案例,给大家分享一下,申请的一些技巧。    申请百度官网认证需要6
      谷歌推众包项目抗衡Yelp

      谷歌推众包项目抗衡Yelp

      【搜狐IT消息】(宋宣)8月4日消息,据国外媒体报道,谷歌在近日推出了一项名为City Experts的服务。该项目旨在为哪些在Google Maps上寻找本地服务的用户提供更多的服务信息。  据悉,
    你是怎么知道非凡网赚网的?
  •   
    • 联系QQ 邮箱:976382653@qq.com 微信:976382653
     在线留言
    发布软文
    广告自助购
    文章调用
    常见问题
    保存到桌面