近日RIPS曝出wordpress直至 4.9.6的版本依然存在一个任意文件删除漏洞，拥有author及类似权限的wordpress站点受到此漏洞威胁，攻击者可通过构造附件的’thumb’路径造成任意文件删除。严重的后果将导致攻击者获取站点管理员权限进而控制服务器。 临时修复方法如下，在当前主题模板的functio……

dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie，同时在其他核心支付系统也使用了同样的cookie进行验证，黑客可利用泄漏的cookie通过后台验证，进行后台注入。修复方法如下，打开\member\inc\inc_archives_functions.php文件，找到239行，以下代码： echo “<inpu……

百度主动推送是百度所有链接提交方式中最为快速的提交方式，主要用于新内容发布后实时提交到百度，以保证新链接可以及时被百度收录。 WordPress加入下面这段代码即可实出发布完内容马上提交到百度，将代码中的域名更换为你自己的域名，token值改为你网站的百度主动推送的token值，可以在百度站长平台的链接提交中找到准入密钥。然后复制粘贴到你……

百度POST实时推送工具V3.0可以不需要通过浏览器来访问网站上的提交文件来提交，在本地运行工具就可以方便的提交，另外一个强大的功能是这个工具可以挂在你的windows服务器上自动获取网站URL自动推广，无需人工管理，前提条件是要配置好自动获取网站URL的正则。 百度网盘下载地址： 链接: https://pan.baidu.com/s/……

WordPress默认上传图片时，图片文件名是什么保存到媒体库里就是什么，如果想保持整洁规范统一，可以将上传的图片以上传时间自动重命名。将以下代码复制粘贴到当前模板主题的functions.php里保存即可。 //根据上传时间重命名文件 add_filter(‘wp_handle_upload_prefilter’, ‘custom_up……

织梦dedecms调用随机文章需要用到下面这段代码： {dede:arclist pagesize=’10’ titlelen=’35’ orderby=’rand’} [field:title/] {/dede:arclist} pagesize=’10’ 表示调用10篇文章 titlelen=’35……

织梦dedecms默认手机模板的文章图片不能自适应屏幕分辨率大小，会造图片显示不完整或者图片将页面撑爆。下面这段代码是通过php代码将文章图片标签的宽度高度全部去掉，以实现屏幕自适应。 编辑手机端文章内容页模板，将里面的{dede:field.body/}标签代码修改为如下的标签代码： {dede:field.body runphp=ye……

DedeCMS v5.7 版本中的/member/inc/archives_check_edit.php文件存在注册用户任意文件删除的漏洞，注册会员用户可利用此漏洞任意删除网站文件。 修复方法，编辑/member/inc/archives_check_edit.php文件，查找下面的代码： $litpic =$oldlitpic; 替换成……

dedecms的/member/soft_add.php中，对输入模板参数$servermsg1未进行严格过滤，导致攻击者可构造模版闭合标签，实现模版注入进行GETSHELL。 编辑member目录下的soft_add.php，找到如下代码，大约在第171行 $urls .= “{dede:link islocal=’1′ text='{……

有时为了页面美观，需要隐藏一些不需要展示的代码，而这些代码的功能却一定要生效，比如统计代码。下面提供两种方法隐藏： 第一种方法，将统计代码放在<div style=”display:none”>与</div>中间，如下所示： <div style=”display:none”> ……