wordpress的post.php任意文件删除漏洞临时修复方法

近日RIPS曝出wordpress直至 4.9.6的版本依然存在一个任意文件删除漏洞,拥有author及类似权限的wordpress站点受到此漏洞威胁,攻击者可通过构造附件的’thumb’路径造成任意文件删除。严重的后果将导致攻击者获取站点管理员权限进而控制服务器。 临时修复方法如下,在当前主题模板的functions.php添加如下代码: add_filter( 'wp_update_attachment_metadata', 'rips_unlink_tempfix' ); f

WordPress发布文章后实时自动进行百度主动推送

百度主动推送是百度所有链接提交方式中最为快速的提交方式,主要用于新内容发布后实时提交到百度,以保证新链接可以及时被百度收录。 WordPress加入下面这段代码即可实出发布完内容马上提交到百度,将代码中的域名更换为你自己的域名,token值改为你网站的百度主动推送的token值,可以在百度站长平台的链接提交中找到准入密钥。然后复制粘贴到你当前主题模板中的function.php文件中保存即可。 if (!function_exists(‘Baidu_Submit’) && function

WordPress自动重命名媒体库图片文件名

WordPress默认上传图片时,图片文件名是什么保存到媒体库里就是什么,如果想保持整洁规范统一,可以将上传的图片以上传时间自动重命名。将以下代码复制粘贴到当前模板主题的functions.php里保存即可。 //根据上传时间重命名文件 add_filter('wp_handle_upload_prefilter', 'custom_upload_filter' ); function custom_upload_filter( $file ){ $info = pathinfo($file['name'

WordPress免插件自动更新sitemap.xml站点地图

不喜欢给WordPress安装各种插件的话,可以用本文的方法免插件生成sitemap站点地图,可以同时生成首页、文章、单页面、分类和标签的sitemap <?php require('./wp-blog-header.php'); header("Content-type: text/xml"); header('HTTP/1.1 200 OK'); $posts_to_show = 1000;  echo '<?xml version="1.0" encoding="UTF-8"?>'

WordPress通过标签添加相关文章功能

WordPress默认的模板没有相关文章的功能,将下面的代码放在文章页模板文章结束位置即可实现相关文章的功能。原理是获取当前文章的标签,输出该标签下最近的10篇文章,如果该标签下不够10篇文章则补充最新文章凑成10篇。$post_num后面的数值就是要调用的文章数量。 <h3>相关文章</h3> <ul class="related_posts"> <?php $post_num = 10; $exclude_id = $post->ID; $posttag

WordPress禁止HTTP_USER_AGENT恶意采集与攻击

很多采集程序和SQL注入工具都是利用空USER_AGENT来获取信息,屏蔽恶意HTTP_USER_AGENT既可以防采集还可以在一定程度防攻击。 直接复制以下代码,粘贴到你当前主题模板的functions.php里: $ua = $_SERVER['HTTP_USER_AGENT']; $now_ua = array('FeedDemon ','ZmEu','Indy Library','oBot','jaunty'); //将恶意USER_AGENT存入数组 if(!$ua) { //禁止空USER_A

WordPress压缩html代码提升网页加载速度

对WordPress进行html代码压缩可以实现WordPress加速,此处保哥分享的是免Gzip插件来实现。压缩代码分为两部分,第一部分是压缩html代码,第二部分是解决代码压缩后导致html里的注释挤到一行,使很多代码失效,特别是部分js代码失效。 在当前主题模板下的functions.php中加以下代码: /**压缩html代码**/ function wp_compress_html(){ function wp_compress_html_main ($buffer){ $initial=str

WordPress修改评论区模板Cookies提示文字并设置默认勾选状态

WordPress中自带的Twenty Fifteen主题,默认的评论区有一处保存Cookies的提示英文没有汉化:Save my name, email, and website in this browser for the next time I comment.翻译过来的中文意思是“保存姓名、电子邮件和站点信息,便于下次发表评论” 解决方法:编辑器打开wp-includes目录下的comment-template.php文件,这段英文大约在2206行,换上你的中文翻译即可。 如果要默认就是勾选状态

修改WordPress默认字体为微软雅黑

WordPress默认自带的模板主题以及一些国外的WordPress模板里的中文字体很模糊特别难看,不符合国人的审美,下面提供一行简单的CSS代码,即可解决整站字体,而且不影响Font awsome图标。 复制以下代码: *:not([class*="icon"]):not(i) {font-family: Segoe UI, "Microsoft Yahei" !important;} 粘贴到主题自定义里面的额外CSS里,发布后即可生效,保哥笔记用的就是这段代码,只需一行,轻松搞定。

WordPress头部代码优化:去除window._wpemojiSettings代码

查看Wordpress源文件的时候,会看到head头部加载了一大片window._wpemojiSettings开头的JS和CSS代码,这是用于支持emjo表情的脚本。对于大部分国内站长来说,这个是十分鸡肋的功能,不仅使用的机会少,放在网站头部的JS代码太多对网站的优化也很不好,而且还会影响网站的加载速度。 <script type="text/javascript"> window._wpemojiSettings = {"baseUrl":"https:\/\/s.w.org\/image