DedeCMS v5.7 版本中的/member/inc/archives_check_edit.php文件存在注册用户任意文件删除的漏洞,注册会员用户可利用此漏洞任意删除网站文件。修复方法,编辑/member/inc/archives_check_edit.php文件,查找下面的代码:$litpic =$oldlitpic;替换成以下代码:$litpic =$oldlitpic; if (s……

阅读次数:1073

dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。编辑member目录下的soft_add.php,找到如下代码,大约在第171行$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/ded……

阅读次数:844

有时为了页面美观,需要隐藏一些不需要展示的代码,而这些代码的功能却一定要生效,比如统计代码。下面提供两种方法隐藏:第一种方法,将统计代码放在<div style="display:none">与</div>中间,如下所示:<div style="display:none"> <script type="text/javascript">var ……

阅读次数:1617

WordPress默认的模板没有相关文章的功能,将下面的代码放在文章页模板文章结束位置即可实现相关文章的功能。原理是获取当前文章的标签,输出该标签下最近的10篇文章,如果该标签下不够10篇文章则补充最新文章凑成10篇。$post_num后面的数值就是要调用的文章数量。<h3>相关文章</h3> <ul class="related_posts"> <……

阅读次数:1913

很多采集程序和SQL注入工具都是利用空USER_AGENT来获取信息,屏蔽恶意HTTP_USER_AGENT既可以防采集还可以在一定程度防攻击。直接复制以下代码,粘贴到你当前主题模板的functions.php里:$ua = $_SERVER['HTTP_USER_AGENT']; $now_ua = array('FeedDemon ','ZmEu','Indy Library','oBo……

阅读次数:2627

对WordPress进行html代码压缩可以实现WordPress加速,此处保哥分享的是免Gzip插件来实现。压缩代码分为两部分,第一部分是压缩html代码,第二部分是解决代码压缩后导致html里的注释挤到一行,使很多代码失效,特别是部分js代码失效。在当前主题模板下的functions.php中加以下代码:/**压缩html代码**/ function wp_compress_html()……

阅读次数:1155

WordPress中自带的Twenty Fifteen主题,默认的评论区有一处保存Cookies的提示英文没有汉化:Save my name, email, and website in this browser for the next time I comment.翻译过来的中文意思是“保存姓名、电子邮件和站点信息,便于下次发表评论”解决方法:编辑器打开wp-includes目录下的com……

阅读次数:2924

WordPress默认自带的模板主题以及一些国外的WordPress模板里的中文字体很模糊特别难看,不符合国人的审美,下面提供一行简单的CSS代码,即可解决整站字体,而且不影响Font awsome图标。复制以下代码:*:not([class*="icon"]):not(i) {font-family: Segoe UI, "Microsoft Yahei" !important;}粘贴到主题……

阅读次数:1503

查看Wordpress源文件的时候,会看到head头部加载了一大片window._wpemojiSettings开头的JS和CSS代码,这是用于支持emoji表情的脚本。对于大部分国内站长来说,这个是十分鸡肋的功能,不仅使用的机会少,放在网站头部的JS代码太多对网站的优化也很不好,而且还会影响网站的加载速度。<script type="text/javascript"> wind……

阅读次数:1724