首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

WPJAM Basic 5.9 详细更新说明

昨天 WordPress 5.9 发布,我第一时间就升级了测试站点到 WordPress 5.9,经过一天的观察,没有发现什么问题。 因为 WordPress 5.9 的更新主要还是围绕块编辑器。...其他功能没有很大的改进,所以插件几乎没有什么兼容的问题,感觉 WordPress 目前的新版的开发方向就是块编辑器一条道走到黑啊。...新增登录界面去掉语言切换器功能 WordPress 5.9 在登录界面增加了一个语言切换起的功能,用户可以通过它快速切换登录界面的语言: 如果你不是运行国际化博客的话,这个功能基本无用,我们可以屏蔽它...,我在「WPJAM」菜单的「样式定制」子菜单下新增一个选项,让你一键移除: 缩略图设置支持设置多张默认缩略图 之前缩略图设置的默认缩略图只支持设置一张,如果很多文章没有设置缩略图,则会显得有些单调,所以新版则增加可以设置多张缩略图...这个选项主要用于应对两种情况: 如果当前主题或其他插件也会生成摘要和关键字,可以通过勾选该选项移除。 如果当前主题没有 wp_head Hook,也可以通过勾选该选项确保生成摘要和关键字。

7.2K30
您找到你想要的搜索结果了吗?
是的
没有找到

使用Web日志还原攻击路径

这个信息可能不太重要,如果日志文件显示IP88.54.124.178的访问者在2019年4月16日07:44访问dump_database.php页面,并且请求成功,该怎么办?...其中,wp-admin 是WordPress的管理后台,wp-login 是WordPress登录页面,POST表示使用POST方法将HTTP请求发送到服务器,一般来说主要是登录表单和数据提交。...让我们看看这个IP地址的用户还做了什么,我们再次使用grep命令来筛选。...200 攻击者试图编辑404.php文件,攻击者经常使用这种方式将恶意代码写入文件,但由于缺少文件写入权限,所有并没有成功。...page=file-manager_settings 根据上述信息,我们可以看到攻击者的行为时间表,但是,目前还有一个问题没有弄清楚,攻击者是如何获得登录凭据的?

1.5K11

研究人员在三种WordPress插件中发现高危漏洞

攻击者通常会制作一个触发 AJAX 操作并执行该功能的请求。...如果攻击者能够成功诱骗站点管理员执行诸如单击链接或浏览到某个网站之类的操作,而管理员已通过目标站点的身份验证,则该请求将成功发送并触发该操作,该操作将允许攻击者更新该网站上的任意选项。...攻击者可以利用该漏洞将网站上的“users_can_register”(即任何人都可以注册)选项更新 确定,并将“default_role”设置(即在博客上注册的用户的默认角色)设置管理员,那么他就可以在受攻击的网站上注册管理员并完全接管它...Login/Signup Popup 插件允许添加登录和注册弹出窗口到标准网站和运行WooCommerce插件的网站。Waitlist WooCommerce 插件允许添加产品等待列表和缺货项目通知。...对于这项漏洞,Wordfence 团队特别提醒WordPress用户必须检查其网站上运行的版本是否已更新这些插件可用的最新修补版本,即Login/Signup Popup插件 2.3 版,Waitlist

1.7K30

WordPress站点快速集成腾讯数字身份管控平台CIAM,免开发实现登录认证

无论使用 WordPress 架设哪类系统,用户提供登录认证功能都是一项基础且普遍的需求。...账号密码认证,关联认证源暂不设置,Claims 是用户登录成功后 CIAM 将提供给 WordPress用户信息字段,此处我们选择常用的 用户昵称、用户名称、 邮箱地址 和 性别。...11.png 登录成功后,将自动跳转回登录前访问的 WordPress 页面。...17.png 屏蔽 WordPress 登录当前用户登录时会先访问 WordPress 的默认登录页,然后点击页面上的 Login with OpenID Connect 跳转到 Tencent... WordPress 设置全站内容登录保护 某些场景下,我们希望用户首先完成注册登录,然后才能访问 WordPress 站点的内容。

2.3K30

wordpress资讯类主题NStory(纯净版宝塔版)

框架支持 用户打赏 赞 VIP 会员 赞支付宝和微信支付 赞手机、邮箱和社交登录 赞推荐用户等级 赞图片裁剪与水印 赞强大的积分系统 赞暗黑模式,可手动或自动切换 赞付费内容,下载和视频 评论评分及表情...和JS代码 文章目录 文章和评论喜欢与不喜欢 文章收藏 分享海报 稍后观看视频 关灯看视频 AJAX 搜索 搜索历史 轻导航 多功能标签筛选 站点地图 两种外链跳转 微信分享显示缩略图 SMTP邮件发送设置...投稿可选择或创建标签 限制敏感词 投稿字数限制 允许访问后台的角色 邮件通知 允许上传的文件类型 自动更新普通等级 VIP 到期提醒 字符长度限制 菜单显示、隐藏与排序 单页面应用(路由) 等级标识 用户设置接收通知的方式...接口 删除WordPress登录错误 从工具栏中删除 WordPress LOGO 从工具栏中删除自定义 禁用定时器 禁用古腾堡编辑器 禁用古腾堡小工具 禁用文章 Embed 格式化日期 格式化数字...自定义后台登录地址 复制提示 代码高亮 其它功能 新编辑文章可AJAX选择所属专题 新编辑专题可AJAX选择相关文章 自定义类型文章固定链接 移除菜单中多余的标签 全站添加 canonical 标签

2.6K00

wordpress添加限制游客浏览数量功能

function restrict_content($content) { global $post; $user_role = get_current_user_role(); // 获取当前用户的角色...('the_content', 'restrict_content'); // 应用过滤器到文章内容设置文章的角色分配:对于您想要限制为注册用户可见的文章或页面,您可以使用wp_set_post_terms...例如,要为ID123的文章设置“访客”角色,可以使用以下代码:wp_set_post_terms(123, 'visitor', 'role');注册和登录表单的处理:在您的主题中,您需要添加一个注册和登录的表单...,并为非注册用户重定向到登录或注册页面。...考虑使用AJAX或JavaScript来改进用户体验:如果您希望在用户尝试访问受限内容时提供更加流畅的体验(而不是完全重定向),您可以考虑使用AJAX或JavaScript来处理权限检查。

8810

WordPress5.0 远程代码执行分析

本文作者:七月火 2019年2月19日,RIPS 团队官方博客放出 WordPress5.0.0 RCE 漏洞详情,漏洞利用比较有趣,其中多处细节部分并未放出,特别是其中利用到的 LFI 并未指明,之后网络上很多所谓的漏洞分析文章...环境搭建 我们直接从 WordPress 官网下载 5.0 版本代码,搭建成功后先不要登录,因为从 3.7.0 版本开始, WordPress用户登录时,会在后台对小版本的改变进行更新,这样不利于我们分析代码...我们可以通过将 AUTOMATIC_UPDATER_DISABLED 设置成 true ,来禁止 WordPress 后台自动更新(在 wp-config.php 文件开头添加 define('AUTOMATIC_UPDATER_DISABLED...在 WordPress 中,用户所上传的图片,会被保存至 wp-content/uploads/ 目录下。而程序获取图片时,有两种方法。...由于没有找到 get_page_template 函数的触发点,这里暂时值分析 get_single_template 函数。

1.3K30

3 个 WordPress 插件中的高危漏洞影响了 84,000 个网站

被追踪 CVE-2022-0215 的跨站请求伪造 ( CSRF ) 缺陷在 CVSS 规模上被评为 8.8,并影响Xootix维护的三个插件- 登录/注册弹出窗口(内联表单 + Woocommerce...), Side Cart Woocommerce (Ajax) 和 候补名单 Woocommerce(有库存通知) 跨站点请求伪造,也称为一键式攻击或会话骑行,发生在经过身份验证的最终用户被攻击者欺骗提交特制的...image.png 具体来说,该漏洞源于处理AJAX 请求时缺乏验证,从而有效地使攻击者能够将站点上的“users_can_register”(即任何人都可以注册)选项更新 true 并设置“default_role...”设置(即,在博客上注册的用户的默认角色)管理员,授予完全控制权。...“尽管此跨站点请求伪造 (CSRF) 漏洞由于需要管理员交互而不太可能被利用,但它可能对成功利用的站点产生重大影响,因此,它是一个非常重要的提醒您在单击链接或附件时保持警惕,并确保您定期更新插件和主题,

1K30

WordPress主题插件严重漏洞修复,影响将近20万个网站

WordPress的ThemeGrill Demo Importer程序的开发人员已更新了该插件,删除一个严重漏洞,该漏洞未经身份验证的用户提供了管理员特权。...根据官方WordPress插件存储库的统计数据,最流行的版本是1.4到1.6,占当前安装的98%以上。 擦除感染网站的数据库需要ThemeGrill主题处于有效状态。...WordPress安全公司WebARX的研究人员提醒,快速自动登录的管理员账户也有一个前提条件,目标数据库有用户“admin”的存在。...如果数据库中存在“admin”用户,未经身份验证的攻击者可能会使用此帐户登录,并删除所有以已定义的数据库前缀开头的WordPress表。...一旦删除了所有表,它将使用默认设置和数据填充数据库,然后将“admin”用户的密码设置其先前已知的密码。 WebARX研究人员于2月6日发现了该漏洞,并于同日将其报告给开发人员。

55210

WordPress日志、编辑类插件

HidePost 这个WordPress 插件可以用来保护你的文章内容, 比如链接, 文本, 或是图像. 而只有注册用户登录状态下才能看到. 这比较适合那些提供下载的BLOG使用....Yet Another Related Posts Plugin WordPress相关日志插件. 可以为当前页面或日志显示一份相关文章列表....WordPress 从2.6开始加入了字数统计功能, 这个功能对中文用户来说是无效的, 这个插件就可以让你在发布文章的时候看到中文统计字数. 不知道这个插件是否可以和上面的高级摘要相配合....帕兰也没有具体试用, 应该还是不行. 两个插件虽然都涉及到字数统计, 实质的字数判断应该是不同的. Category Icons 非常好用的WordPress文章分类图标插件....插件主页 Ajax Post Save 可以让你在保存WordPress文章或页面的时候使用Ajax. 插件主页 wp-orderposts 文章排序插件.

1.5K30

非常适合个人搭建博客—WordPress开源免费主题汇总

而有时我们仅仅根据个人的爱好来搭建一个博客,所以也没有必要去支付高额的费用来购买Wordpress主题。...加上这些Wordpress主题都是开源的,基本上可以在Github上找得到源码,安全性是没有问题,主题的作者也在不断更新当中。...无框架设计 主题无前端界面库框架,代码作者手撸,体积小,兼容好。 大量优化功能 深度优化WordPress,干掉没有卵用的函数,让后台访问更快,再也不用莫名其妙的等待好多秒了。...多个小工具 主题自带多种小工具,最新评论,作者信息,热门文章 前端用户中心 开启用户中心,接管WordPress自带登录页面,注册页面,找回密码页面,同时自定义个人中心设置页面,支持修改昵称,签名,修改密码...评论Ajax加载 文章点赞、打赏 支持Twemoji集成 支持QQ登录 丰富的广告位 丰富的小工具 自动百度链接提交 众多页面模板 支持评论可见 支持密码可见 支持Dplayer播放器 简约快捷的后台配置

15.3K34

WordPress 添加前台 AJAX 注册登录功能

WordPress 添加前台 AJAX 注册登录功能 ---- 功能前台化已成为 WordPress 主题制作的一大趋势,抛却缓慢臃肿的后台不说,前台便捷操作能给用户带来良好体验。...登录与注册是网站的重要功能之一,这篇文章将讲述如何实现漂亮的 WordPress 前台登录注册功能,此外观移植自觉唯主题。...此功能的实现是由 AJAX 提交表格数据代替 PHP submit 提交至 WordPress 自带的 admin-ajax.php,再进行 WordPress 内部的 PHP 验证处理,基于功能简化要求...这个 wordpress 自带 ajax 处理接口,请直接下载即可。...strip_tags( $login->get_error_message() ) : 'ERROR: ' . esc_HTML__( '请输入正确用户名和密码以登录', 'tinection' );

1.6K11

WordPress面试题

以下是一般步骤: DNS 解析设置登录域名注册商账户: 进入你购买域名的注册商的网站,登录到你的账户。 找到域名管理页面: 在账户中找到管理域名的选项。...MX 记录设置: 找到邮件设置页面: 在域名注册商的后台或者当前托管邮件服务的平台中,找到 MX 记录设置。 更改 MX 记录: 修改 MX 记录以指向新的邮件服务器。...备份设置信息: 在修改之前,确保你有当前 DNS 和 MX 记录的备份,以防止意外情况发生。...使用 Ajax: 使用 WordPress 提供的 Ajax API 来处理异步请求,提升用户体验。 安全性和错误处理: 对插件进行安全性审查,确保用户输入的数据经过验证和过滤。...找到用户表: 在数据库中找到以wp_users前缀的表,例如wp_users,这是 WordPress 存储用户信息的表。 找到用户: 找到你想要修改密码的用户,并记下该用户的 ID。

29040

Vulnhub之DC-2过关记录

现在有了密码字典,但是还不知道用户名,这个时候搜索一下看看kali针对wordpress 的cms有没有什么扫描器 ? 搜索结果得知,可以使用wpscan来实现扫描功能。...使用jerry用户名并不能ssh登录,使用tom用户再次尝试,成功进入。 查看机器中有哪些文件,ls当前有一个flag3.txt使用cat more命令查看均报错 ?...(留下了没有技术的眼泪) 输入 vi 之后: :set shell=/bin/bash :shell `` 查看此时环境变量PATH,得知只有当前usr下的bin文件,所以还需设置环境变量 tom@DC...c.flag4.txt 尝试使用su jerry 进行用户切换。 ? 成功进入。查看jerry用户下有哪些文件。 ls 提示没有权限发现在tom的家目录下 ?...flag4.txt文件内容大概意思是:很高兴看到你已经走了这么远,你还没有到家。您仍然需要获得最后的标志(惟一真正有意义的标志!!)。这里没有提示——你现在只能靠自己了。

55820

【基本功】 前端安全系列之二:如何防止CSRF攻击?

由于之前用户登录了信任的网站A,并且保存登录状态,只要用户主动访问上面的这个PHP页面,则表示攻击成功。 CSRF的特点 攻击一般发起在第三方网站,而不是被攻击的网站。...对于Ajax请求,图片和script等资源请求,Referer发起请求的页面地址。对于页面跳转,Referer打开页面历史记录的前一个页面地址。...在token解密成功之后,服务器可以访问解析值,Token中包含的UserID和时间戳将会被拿来被验证有效性,将UserID与当前登录的UserID进行比较,并将时间戳与当前时间进行比较。...举个实际的例子就是,假如淘宝网站用来识别用户登录与否的 Cookie 被设置成了 Samesite=Strict,那么用户从百度搜索页面甚至天猫页面的链接点击进入淘宝后,淘宝都不会是登录状态,因为淘宝的服务器不会接受到那个...如果SamesiteCookie被设置Lax,那么其他网站通过页面跳转过来的时候可以使用Cookie,可以保障外域连接打开页面时用户登录状态。相应的,其安全性也比较低。

1.6K20

漏洞预警:知名WordPress主题Pagelines和Platform存在高危漏洞

使用Pagelines和Platform主题的WordPress用户注意了,请尽快更新主题的版本。...技术细节 1.Pagelines和Platform主题的权限提升漏洞: 以上两种主题使用WordPressajax hook对某些设置进行了更改: ?...无论登录用户是什么权限,wp_ajax_钩子对用户来说都是可用的。订阅用户可以使用hook重写在WordPress选项库里的任何一项。...比如,他们可以重写default_role的值administrator,这将给予网站的每一个新用户管理权限!...2.Platform主题的远程代码执行漏洞: 该主题使用了不合理的方式来导入主题设置的备份文件: ? 如你在图片看到的那样,该主题使用include()函数导入了备份文件。

85450

使WordPress达到最佳运行状态的13个技巧

运行速度是网站成功与否的关键因素。 WordPress受到前所未有的推崇,如果能被调整到最合适的状态,WordPress会达到最佳运行效果。...如果不删除,这些被关闭的插件就会影响网站的运行速度,因为WordPress需要检查他们是否处于开启状态。 同样你也要记住现在用的插件及时升级到最新版本。...从PHPMyAdmin中修复并优化数据库 你可以一个星期登录一次PHPMyAdmin,优化自己的数据库。 定位你的WordPress数据库表,在复选框中选中所有表,选择“优化数据库表”选项进行修复。...目前我还没有用过这款插件,很多评论都对它赞不绝口。 你也可以告诉我对它的使用心得,这样我在文章中就可以提供更为准确的信息。...11.通过AJAX库API加速构建你的构架 AJAX 库 API致力于开发人员加速网络应用程序,它是一种内容分布网络,可加载最受欢迎的JavaScript库,包括: jQuery prototype

99730
领券