wordpress
wordpress评论自定义验证码
星期日, 九月 13th, 2020 | php, wordpress | 没有评论
人总是难以改变的动物,一直用wordpress习惯了,不想再折腾静态博客网站了,继续跟随升级到5.5.1版本.
现在wordpress的评论的机器人真是做的好智能,一些常用的评论插件也基本上已经被攻破.
为了防止垃圾评论的骚扰,发现自制的验证码能拒绝这些评论机器人.
看样还是个性化的参数没有多大价值去处理的原因,非技术问题.
如下自制验证码:
管理员帐号登录:
修改下面的几个文件即可:
1.修改主题文件:(评论)comments.php
在下面新增一行即可,验证码的名称(authcode) 随便起个即可
<div id="commentform"> <form action="<?php echo get_option('siteurl'); ?>/wp-comments-post.php" method="post" id="commentform"> |
新增的行:
<label for="authcode">验证码: (Lee)</label> <input type="text" name="authcode" id="authcode" class="text" value="" placeholder="请输入Lee" size="10" tabindex="1" /> |
2.登录到机器上 修改 wp-comments-post.php 文件 添加下面的代码即可
if($_POST['authcode']!='Lee'){ echo "<script>alert('验证码错误')</script>"; echo "<script>window.history.go(-1)</script>"; exit; } |
小记:其实可以写成一个更好的,做个写个函数注入到其中更好.懒的写了.
wordpress版本升级到5.2.3记录
星期日, 九月 8th, 2019 | wordpress | 没有评论
阿里云老是提醒wordpress系统安全问题之类,提醒的烦了就准备升级下,小计.
1.到服务器下载最新版 https://wordpress.org/download/
最新版地址:https://wordpress.org/latest.zip
2.覆盖后升级,发现需要php5.6+,自己的php版本还是5.5+系列
3.折腾,顺便把服务器的centos6.5的也更换到centos7.6,后来发现被坑了一天才完成整改升级计划
4.服务器更新系统很快,安装nginx-1.17.3,mysql5.7,导入数据,
遇到的问题:
4.1:mysql5.7 兼容0000-00-00 00:00:00的日期格式,
4.2:移除wp-seccode插件(不兼容php7.0)
4.3: mysql_connect 更换成 mysqli_connect 等新函数(自己部署的其他应用部分)
5.总算正常进入及展示了,话说新的后台写文章的界面还真是漂亮
后台写文章界面如下图:
wordpress WP_Image_Editor_Imagick 指令注入漏洞之临时修复
星期四, 五月 19th, 2016 | php, wordpress | 2 Comments
imagick的漏洞最近闹的沸沸扬扬,我自己一直也没有特别关注,主要是我也没有对应的使用此功能做在线web图片的处理.
有用的情况下也是之前的一个内网项目做过图片的快速处理.
耐不住阿里云的安骑士的 友情提醒我的此漏洞,我惶恐的去查了下服务器的配置根本就没有发现 imagick 的扩展.
具体PHP支持开启 imagick 的扩展可以参照这篇文章 Centos 下编译PHP图片扩展库 ImageMagick、MagickWandForPHP、imagick
但是漏洞还是要修复的,要不老是 邮件 短信提醒的多可怕
提示如下:
漏洞名称:wordpress WP_Image_Editor_Imagick
指令注入漏洞补丁编号:4547205
补丁文件:../wp-includes/media.php
补丁来源:云盾自研
更新时间:2016-05-19 11:06:18
漏洞描述:该修复方案为临时修复方案,可能存在兼容性风险,为了防止WP_Image_Editor_Imagick扩展的指令注入风险,将wordpress的默认图片处理库优先顺序改为GD优先,用户可在/wp-includes/media.php的_wp_image_editor_choose()函数中看到被修改的部分
解决方法:
其实提示的临时修复方式也很简单,我自己没有购买付费服务就按照他的提示自己手工修复下,然后验证下,OK 显示已经修复
1 2 3 4 | $implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_GD', 'WP_Image_Editor_GD' ) ); //注释掉下面一行,换成上面一行即可,其实就是关闭了Imagick的作为备选项的功能了 easy吧 //$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) ); |
Gravatar头像显示的简便方便之WordPress开发
星期一, 六月 29th, 2015 | wordpress | 没有评论
Gravatar的头像不显示,出现个xx感觉很不舒服,想法解决;
最简单的方式是使用https的方式去显示:
调用ssl 头像链接,后台编辑functions.php加入如下代码:
1 2 3 4 5 6 | //调用ssl 头像链接 function get_ssl_avatar($avatar) { $avatar = preg_replace('/.*\/avatar\/(.*)\?s=([\d]+)&.*/','<img src="https://secure.gravatar.com/avatar/$1?s=$2&d=mm" class="avatar avatar-$2" height="$2" width="$2">',$avatar); return $avatar; } add_filter('get_avatar', 'get_ssl_avatar'); |
wp升级小计
星期二, 四月 28th, 2015 | wordpress | 没有评论
风险提示wp4.0的版本有xss的匿名评论的漏洞,要赶快打补丁
就升级了,下载最先的版本,覆盖即可,登录后台点击升级搞定;
记得后台关闭 表情的功能,否则就等着一直load那些我们无法访问的表情图片吧
没有遇到诡异的事情,聊记一下
wordpress升级避免被扫描和替换googleapis加快访问
星期一, 九月 1st, 2014 | wordpress | 没有评论
最近看了下服务器的访问日志,发展正儿八经的访问博客网站的流量没有多少,一堆东欧过来的ip地址 不停的尝试 xmlrpc.php进行提交数据,破解网站等操作,
移除此文件或者禁止访问该文件没有多大用处,他们还是会继续执行.
后来在网上查了下,是3.5之前的wordpress有这个漏洞,果断升级成新版本到3.9.2,等到今天再查的时候已经停止对我网站的 扫描了.
另:发现由于不能访问googleapis.com网站造成后台的速度好慢,替换成国内的地址,就ok了
修改 wp-includes/script-loader.php 下搜索googleapis,替换成useso解决问题. 对360赞一个,提供了useso.com 镜像了常用的googleapis.com服务.
wordpress防止xmlprc.php大量消耗服务器资源
星期一, 八月 25th, 2014 | linux, wordpress | 没有评论
最近发现访问自己的blog网站的时候,变的很慢,有时候居然无法响应;
到服务器跟踪了下访问日志,有大量的提交到xmlrpc.php的操作,ip地址也是不段变化中.
搜索了下看原理可以利用此漏洞文件进行http的DDOS攻击,还有可能被破解用户口令密码.
也没有什么高招 ,只是 删除文件或者拒绝访问即可(至少不再消耗php解析资源)
解决办法:
› Continue reading
使用qq互联api实现wordpress网站的会员的绑定登录
星期日, 一月 27th, 2013 | wordpress | 3 Comments
一直想用qq的帐号直接登录网站,方便用户注册,不过对应自己的一个blog网站又感觉没有必要.
思来想去终于想到一个让自己能接受的理由完成此功能的开发,即 用qq帐号快速登录于本站点的帐号相关联起来,
以后自己只要开着qq就可以直接登录网站进行写文章,不需要再记忆原来的密码.
功能已经实现,现在自己的已经绑定好了,周同学要是也想用的话,可以直接点击右侧的qq登录使用,我做了对应的绑定帐号验证功能.
好像wordpress也有对应的插件,不过自己喜欢动手嘛,用着舒服,也顺便看看qq互联的api和wordpress对应用户的验证和登录的控制.
OK, 结束.
遭遇要执行请求的操作,wordpress需要访问您网页服务器的权限
星期三, 十一月 28th, 2012 | php, wordpress | 一条评论
最近折腾了下wordpress,记录碰到的各种问题的解决之法:
换了独立的vps机器后,在后台自动升级的时候遭遇 到要执行请求的操作,wordpress需要访问您网页服务器的权限 到这个;
这个界面只会出现在PHP进程不是以用户身份来运行的主机上,也就是你的服务器运行PHP的用户和WP文件夹的所有者不一样,
目的就是为了安全,wordpress在升级时会创建一个临时文件看看owner是不是和当前运行的php是否一样,如果不一样,就会出现这个界面。
› Continue reading
使用WP-PostViews浏览次数插件获取指定文章浏览数
星期一, 十一月 26th, 2012 | php, wordpress | 没有评论
在自己调用文章的循环中,去调用次数的时候比较范畴,最终查到获取次说的方法:
一:直接获取指定id文章的展示次数:
WP-PostViews用custom field存储展示次数,此custom field调用值为views,只要获取views的值就可以了。
方法一:loop循环调用方法:
1 2 | $post_views = intval(post_custom('views')); echo ' - '$post_views.' views'; |
方法二:根据文章的postid,获取任意文章的展示次数
1 2 | $post_views = get_post_meta($post["ID"], 'views', true); echo ' - '$post_views.' views'; |
二:顺便也记录下对应的调用函数
设置生效的前提:需要将插件提供模板标签the_views()写到模板中(index.php、single.php或者page.php等),该标签要写在循环(loop)内.
› Continue reading
Search
相关文章
热门文章
最新文章
文章分类
- ajax (10)
- algorithm-learn (3)
- Android (6)
- as (3)
- computer (85)
- Database (30)
- disucz (4)
- enterprise (1)
- erlang (2)
- flash (5)
- golang (3)
- html5 (18)
- ios (4)
- JAVA-and-J2EE (186)
- linux (143)
- mac (10)
- movie-music (11)
- pagemaker (36)
- php (50)
- spring-boot (2)
- Synology群晖 (2)
- Uncategorized (6)
- unity (1)
- webgame (15)
- wordpress (33)
- work-other (2)
- 低代码 (1)
- 体味生活 (40)
- 前端 (21)
- 大数据 (8)
- 游戏开发 (9)
- 爱上海 (19)
- 读书 (4)
- 软件 (3)