CMS教程

dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。编辑member目录下的soft_add.php,找到如下代码,大约在第171行$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/ded……

阅读次数:812

WordPress默认的模板没有相关文章的功能,将下面的代码放在文章页模板文章结束位置即可实现相关文章的功能。原理是获取当前文章的标签,输出该标签下最近的10篇文章,如果该标签下不够10篇文章则补充最新文章凑成10篇。$post_num后面的数值就是要调用的文章数量。<h3>相关文章</h3> <ul class="related_posts"> <……

阅读次数:1769

很多采集程序和SQL注入工具都是利用空USER_AGENT来获取信息,屏蔽恶意HTTP_USER_AGENT既可以防采集还可以在一定程度防攻击。直接复制以下代码,粘贴到你当前主题模板的functions.php里:$ua = $_SERVER['HTTP_USER_AGENT']; $now_ua = array('FeedDemon ','ZmEu','Indy Library','oBo……

阅读次数:2441

对WordPress进行html代码压缩可以实现WordPress加速,此处保哥分享的是免Gzip插件来实现。压缩代码分为两部分,第一部分是压缩html代码,第二部分是解决代码压缩后导致html里的注释挤到一行,使很多代码失效,特别是部分js代码失效。在当前主题模板下的functions.php中加以下代码:/**压缩html代码**/ function wp_compress_html()……

阅读次数:1075

WordPress中自带的Twenty Fifteen主题,默认的评论区有一处保存Cookies的提示英文没有汉化:Save my name, email, and website in this browser for the next time I comment.翻译过来的中文意思是“保存姓名、电子邮件和站点信息,便于下次发表评论”解决方法:编辑器打开wp-includes目录下的com……

阅读次数:2766

WordPress默认自带的模板主题以及一些国外的WordPress模板里的中文字体很模糊特别难看,不符合国人的审美,下面提供一行简单的CSS代码,即可解决整站字体,而且不影响Font awsome图标。复制以下代码:*:not([class*="icon"]):not(i) {font-family: Segoe UI, "Microsoft Yahei" !important;}粘贴到主题……

阅读次数:1456

查看Wordpress源文件的时候,会看到head头部加载了一大片window._wpemojiSettings开头的JS和CSS代码,这是用于支持emoji表情的脚本。对于大部分国内站长来说,这个是十分鸡肋的功能,不仅使用的机会少,放在网站头部的JS代码太多对网站的优化也很不好,而且还会影响网站的加载速度。<script type="text/javascript"> wind……

阅读次数:1613

WordPress头部加载的JS和CSS链接URL后都有版本号,这样就泄露了你正在使用的WP的版本了,去除方法是将下面的代码复制粘贴到你当前主题模板的functions.php里即可清除所有URL中的版本号。/**去除JS和CSS链接后的版本号**/ function wpdaxue_remove_cssjs_ver( $src ) { if( strpos( $src, 'ver=' )……

阅读次数:894