WordPress默认情况下发布的文章ID不是连续的,因为自动草稿、文章修订版、页面、菜单、媒体等功能都要占用ID,所以使得ID不连续。百度了一圈,居然有人给出这样的解决方案:“这样如果你只是单纯发文章,不发页面,不添加菜单,不上传媒体的话,基本上此后的文章ID是连续的”,我也是相当无语。
这是我在TSRC实习期间的研究任务X号:http://security.tencent.com/index.php/blog/msg/93
上一篇文章介绍了WordPress后台的常用样式,这次给大家分享的是利用WordPress开发一个插件界面 效果图如下
相关文档:https://www.wpzhiku.com/document/wordpress-plugin-basics/
wp_postmeta数据表是WordPress中存储文章的一些相关信息,如文章缩略图地址、缩略图长宽高和alt信息、文章所在分类的URL、文章自定义的Description和Keywords、文章访问次数等;
该漏洞出现的原因是由于在 WordPress 的wp-includes/post.php文件中wp_delete_attachement()函数在接收删除文件参数时未进行安全处理,直接进行执行导致。
本文转载自:Wordpress <= 4.9.6 任意文件删除漏洞 -http://blog.vulnspy.com/2018/06/27/Wordpress-4-9-6-Arbitrary-File-Delection-Vulnerbility/
虽然通过 WordPress 强大的插件库,你几乎可以干任何的事情,但是有时候需要快速修复一些特定的问题的时候,直接操作数据库可能反而是方便的方法,所以这篇文章就给大家介绍 WordPress 数据库维护时常用到 12 个 SQL 语句。
WordPress的文章、评论等很多数据都是存放在数据库的,所以搭建wordpress网站的时间,网站的空间不需要多大,而数据库一定要充足,而在WordPress数据库中主要使用 wp_posts 表来存储日志,页面,附件,导航菜单等数据,根据使用的时间越来越长,堆积的数据越来越多,从而运行起来也越来越慢,那么我是十分有必要对 WordPress数据库来进行整体的优化下。
WordPress 的机制是主要使用 wp_posts 表来存储所有数据,包括日志,页面,附件,导航菜单等等,所以 WordPress 使用了一定时间之后,数据量一大还是有点慢,除了对 WordPress 进行全方面的优化之外,我们还可以对数据表进行减肥和优化,来提高 WordPress 的速度。
对于WordPress网站文章ID不连续的问题困扰了我很久,今天将WordPress文章ID不连续的原因和具体解决办法做详细的说明。
一、禁用文章修订版 所谓的文章修订版就是你每次修改一次文章,它都会自动帮你保存修改之前的文章版本,专业术语叫做版本控制,这样保证了在误修改的情况下可以还原之前的内容,这个在维基文档的维护方面是有很大帮助的,但是作为我们的小博客,似乎没多大用处,而且这个修订版在数据库中是占据一个ID的,这也是导致文章ID不连续的问题之一。要想禁用文章修订版,可以在 wp-config.php文件中添加:
wp\_commentmeta:存储评论的元数据 wp\_comments:存储评论 wp\_links:存储友情链接(Blogroll) wp\_options:存储WordPress系统选项和插件、主题配置 wp\_postmeta:存储文章(包括页面、上传文件、修订)的元数据 wp\_posts:存储文章(包括页面、上传文件、修订) wp\_terms:存储每个目录、标签 wp\_term\_relationships:存储每个文章、链接和对应分类的关系 wp\_term\_taxonomy:存储每个目录、标签所对应的分类 wp\_usermeta:存储用户的元数据 wp_users:存储用户信息
0x00 漏洞简述 1. 漏洞简介 在REST API自动包含在Wordpress4.7以上的版本,WordPress REST API提供了一组易于使用的HTTP端点,可以使用户以简单的JSON格式访问网站的数据,包括用户,帖子,分类等。检索或更新数据与发送HTTP请求一样简单。上周,一个由REST API引起的影响WorePress4.7.0和4.7.1版本的漏洞被披露,该漏洞可以导致WordPress所有文章内容可以未经验证被查看,修改,删除,甚至创建新的文章,危害巨大。 2. 漏洞影响版本 Word
meta['thumb']来自与数据库,是图片的属性之一。代码未检查meta['thumb']的内容,直接带入unlink函数,如果
wordpress作为最受欢迎的程序,我们对其功能要求也是更为多样。我们都知道wordpress文章发布后都是按照发布时间进行排位,最新发布的在最前面。但是有的网友使用wp作为论坛,就需要新的排序方式。比如按最新评论排序。
在 WordPress 后台点击新建文章的时候,WordPress 首先会创建一个状态为 auto-draft 的草稿,然后让用户再基于这个草稿进行编辑。
本文内容比较多,建议点击https://blog.formsec.cn/2018/07/03/wordpress%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E5%88%A0%E9%99%A4%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/
这个插件(WordPress JSON REST API (WP API))提供了一个易于使用的REST API,让我们可以通过HTTP获取简单方便的JSON格式的数据,这些数据包括用户,文章,分类等等。获取或更新数据非常简单,只需要发送一个HTTP请求就可以了。
这篇文章依然是围绕缓存问题展开的,lnmp 环境下的 WordPress 使用 WP-Super-Cache 插件,若要开启 mod_rewrite 缓存模式,需要在 nginx 里面加入一些特定的规则,具体请见旧文:《nginx 下 wp super cache 的 mod_rewrite 规则》。 用过 WP-Super-Cache 插件的应该都知道,在高级设置里面有一项【当某页面有新评论时,只刷新该页面的缓存】的功能,从字面上来说,就是当有人在某篇文章发起评论时,将删除该页面的缓存。 但是,经过我仔细
文章 ID 不连续是很多 “强迫症” 博主的烦恼,尤其是使用了文章 ID 作为固定连接之后,每篇文章的 ID 并不连续,非常不好。 从原因来看,文章 ID 不连续主要是因为自动保存的文章、媒体、页面和其它文章类型占用了 ID 导致的,网上的解决方法一般是强制的禁止自动草稿、不在媒体库上传媒体、不建立页面等等,但这种方法会导致使用上的不便利,而且很有局限性。 解决方案 本文说的方法也是治标不治本,但却能比较好的解决链接上的 ID 不连续这个问题。这个方法就是利用别名,自动给文章设置一个别名,别名按顺序递增,
WP Super Cache 是我推荐的最佳 WordPress 缓存插件,它把整个页面直接生成 HTML 文件,这样 Apache 就不用解析 PHP 脚本,通过使用这个插件,能使得你的 WordPress 博客将显著的提速。
WordPress删除文章时,文章内所上传到媒体库的图片等附件不会自动删除,占用了网站空间,因此下面说明通过几行代码的简单方式实现在删除文章时自动删除缩略图以及图片附件,这样就不用手动去媒体库寻找并删除,准确而且效率高。
WordPress,全球广泛使用的知名免费开源网站博客程序。WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网站,也可以把WordPress 当作一个内容管理系统(CMS)来使用。WordPress 还是一个免费的开源项目,在GNU通用公共许可证下授权发布。
我们再写 SQL 的时候,最常碰到一个问题就是,把查询条件放到 JOIN 子句和放到 WHERE 子句有什么不同呢?比如:
对于使用WordPress建站的朋友们知道,对于有些觉得过时了的文章或者自己觉得不喜欢了,想删除,但在删除文章时,一般来说文章内所上传到媒体库的图片等附件不会自动删除。这样长时间的积累,占用的资源也不少。那如何在删除文章的同时删除图片附件以及特色图像呢?以下的代码可以实现在删除文章时自动删除文章图片附件以及特色图片,这样就不用手动去媒体库寻找并删除,准确而且效率高。将代码放到当前主题functions.php文件中即可删除文章图片附件。
中午,小熊发来一篇来自歧路亡羊博客的精彩教程:《wordpress 利用代码来实现缓存》。粗略看了一下,发现这个代码在几个月之前我就用过,不过由于此代码无法区分多个域名,从而会导致移动站无法跳转的情况。 我利用午休的时间,仔细看了下这篇文章,发现博主在原代码的基础上,还加上了自动刷新缓存的机制,不过貌似是和 WP Super Cache 插件一样,只要更新文章,就会清除所有缓存,感觉不太适合我。 不过,这篇文章还是激发了我兴趣。折腾了几个月,我现在也能基本看得懂 PHP 了,所以决定把这个代码修改一下,让它
日志文件是服务器提供的非常有价值的信息,几乎所有的服务器、服务和应用程序都提供某种类型的日志记录,用来记录服务或应用程序运行时发生的事件和操作。
WordPress 在 2.0 版本中引入了角色和权限(Roles and Capabilities)系统,以前的用户等级的方法(User Levels)已经被弃用。但是还是有很多插件和主题仍然使用用户级别的方法来控制用户查看设置页面和其他功能。所以这篇指南将详细介绍 WordPress 的角色和权限系统,最终将让你在你的插件和主题中能够正确使用。
任何技术都一样,要了解它怎么工作,首先要了解它的机制和原理,所以要深度理解 WordPress 优化,必须要首先了解 WordPress 对象缓存机制。
首先需要知道页面和附件也是需要占用id的,一般这2个是可以忽略不关注的,大家更关注的是文章id连贯的问题,特别是把文章id当链接用的情况下,上下文章id相差太多,就感觉有点奇奇怪怪的,所以很多人都想解决这个问题,我很早也发过解决代码了,但是今天再测试某个东西的时候,突然想到,id缺失的问题,就尝试了一下新方法。
看到Elegantthemes 上的这篇文章不错,索性半翻译半修改过来。这里介绍了WordPress 中八个有用的代码片段,都是用来优化WordPress 的,不少是添加到wp-config.php 文件的。 1、自动清空文章“回收站”时间间隔 默认的话,WordPress 对于删除到“回收站”的文章是每隔30 天予以清空(原文如此说,貌似没有吧?),如果你嫌时间过长,可以通过wp-config.php 自定义设置,如下面的代码设置删除间隔为 7天: define ('EMPTY_TRASH_DAYS',
解决Wordpress 文章 ID连续问题,同时让Wordpress 文章 ID重新排列。在用以下方法前,先备份好网站文件和数据库文件,以免操作不当造成损失。哈哈哈
2018年6月29日,wordpress爆出最新漏洞,该网站漏洞通杀所有wordpress版本,包括目
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
本文由 erdaoo 学习本站的 WP Theme 教程之后的学习笔记整理,经本站整理,erdaoo 本人同意之后在本站发表,以便给更多学习 WP Theme 教程的人帮助。
近日,来自Sucuri的研究人员发现WordPress存在重大漏洞,漏洞在于WordpressREST API,成功利用该漏洞可删除页面或修改页面内容。 官方很快发布了升级版Wordpress,但很多管理员没有及时升级,以至于被篡改的网页从最初的几千一路飙升到了150万,在此也提醒各位管理员尽快升级。 漏洞详情 ---- 1. 漏洞信息: WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。在4.7.0版本后,REST API插件的功能被集成到WordPress中,由此也引
老早就计划着这件事了,知道长期使用第三方提供的数据服务可能那天就会挂掉的几率(比如之前的leancloud限制云引擎及域名回收事件),放在第三方或多或少会影响到部分使用其免费服务的群体,但毕竟人家是免费提供到的服务,我们白嫖的就不要在这里说三道四了,只是就事论事来讲数据还是存放在自己的手中最安全可靠。
0x00 背 景 近日,WordPress爆出了一个SQLi漏洞,漏洞发生在WP的后台上传图片的位置,通过修改图片在数据库中的参数,以及利用php的 sprintf 函数的特性,在删除图片时,导
支持多作者的wordpress博客,有时需要审核他们的文章内容,虽然UGC(User-generated content)整体是好的,但是也要控制一下质量,实在不相关或spam的文章就要毫不手软的删除。日志的记录已经删除了,但是日志扩展表 postmeta 里面的数据还没有删除,也人工清理下吧,减少数据库的占用
前面在通过优化插件来提高 WordPress 运行效率中谈到:我一直使用的 Popularity Contest 这个插件,这个是非常好的插件,但是它一个很大的问题是对数据库操作实在太多了,因为要统计一篇日志在 single category archive home feed 等下的被阅读的次数,其实个人觉得只有在 single 下阅读次数是最重要的,如果要求提供 WordPress 运行效率的情况下,最好转换到 PostViews 这个插件。今天就把转换函数贴出来,本来想用 SQL 转换的,后来发现一个循环更容易解决问题,代码如下:
小宝跟着小熊美术学习画画也有段时间了,我个人并不懂艺术。只是有的画看起来还是挺有质感的,前段时间在浏览十年之约论坛的时候看到竟然有我爱你的域名后缀,于是就注册了个媱媱.我爱你。现在用的这个blog使用的数据量蛮大了,并且由于升级程序版本之后现在感觉性能也是个问题,于是升级了系统配置,扩大了系统盘空间。域名备案在经历了十几天之后终于过了,于是开始折腾这个新的blog。
WordPress 的管理员账户很容易就能获取,虽然说拿到了管理员账号,用处不是很大,但是不排除有些小白的密码是简单的数字密码。被攻击者爆破或者撞库成功,从而获得后台的管理员账户。
展示更新文章代码 将以下代码添加到主题的 functions.php里 /** * WordPress展示最近更新过的文章 并通知评论过的用户 * https://www.dujin.org/fenxiang/wp/9809.html */ //展示最近更新过的文章 function recently_updated_posts($num=10,$days=7) { if( !$recently_updated_posts = get_option('recently_updated_pos
张戈博客在上个月 28 号启用了 WP Super Cache 代码版,几天下来,虽然小问题不断,但是总体感觉非常不错!不管是前台还是后台,速度都有质的提升,着实值得会折腾的人使用。 感兴趣的可以先看下 28 号的具体教程:《WP Super Cache 静态缓存插件纯代码版(兼容多域名网站)》. 下面,简单的说一下启用此功能后遇到的一些问题的解决办法或细项优化。 ①、发表评论时并未删除缓存,导致无法显示最新评论; ②、若主题有登陆状态显示,那缓存之后,无论谁打开都显示已登录; ③、WordPress
这几天博客一直被 CC 攻击,虽然也没带来什么影响,但是因为多 IP 的并发会导致带宽不够,所以暂时用上了百度云加速。因此,导致之前前台刷新缓存功能也就失效了,因为百度云加速节点还缓存了一份呢! 所以,这些天折腾了下 WordPress 评论的动态加载机制,而且已成功实现!打算先测试 2 天,没有问题之后再发文分享,确保读者拿到的是最完善的的代码与教程。 今天有博友在中国博客联盟的群里提到了 WordPress 文章 ID 不同步的问题。我作为强迫症,又不喜欢用乱糟糟的文章名称来作为固定链接,所以对于 Wo
在默认情况下 WordPress 的附件的永久链接为,http://日志链接/attachment/attachment-name/,这样显得太长不好看,如果我们想定义为:http://siteurl/media/media-id/,怎么处理呢?可以将以下代码复制到当前主题的 functions.php 即可实现:
首先,到wordpress后台插件项中点击安装插件列表里面搜索“WP Super Cache”,第一个即是安装即可。
在中国,很多人的固定连接都是围绕着文章的 ID 展开的,而在国外则大多数都是文章的别名(默认为文章的标题小写并去除或转义一些特殊字符)。如果使用文章的别名作为固定连接,不手动设置别名,就会出现中文链接,非常不好。
wordpress站点除了可以按博客category分类外,还可以在写文章的时候适当添加tags标签(当然,if you are lazy,哈哈,可以安装auto tag插件来实现),发布的posts也会按tags标签来划分。但是,当你修改文章顺便也改了本文tag标签,or因为某些原因删除文章,不再使用的标签,WordPress 是不会自动删除的,需要人工清理下,一个个删除?你out 了!试试下面的sql语句吧
领取专属 10元无门槛券
手把手带您无忧上云