安全研究人员 Denis Sinegubko 和 Adrian Stoian 近日发现,假冒的 jQuery Migrate 插件通过包含的混淆代码来加载恶意软件从而注入了数十家网站。
WordPress 引入css/js 是我们制作主题时首先面对的一个难点,任何一款主题都要加载自己的 css,js,甚至很有可能还需要加载 Jquery 文件,网上方法特多,说法不一,我们今天借鉴 wordpress 官方最新的 twentysixteen 主题来学习总结一下 WordPress 引入 css/js 各种常用方法,以及最优化的加载方法。
作者:matrix 被围观: 2,616 次 发布时间:2013-10-09 分类:Wordpress 兼容并蓄 零零星星 | 2 条评论 »
在开发WordPress 主题或者WordPress 插件时候,常常要通过wp_enqueue_script这个钩子挂载WordPress 自带的 jQuery库而非是通过硬编码的方式来加载,毕竟是为了避免多次加载 jQuery库。但在实际操作中,常常会有各种各样的问题出现。 因为WordPress 自带的 jQuery库会在最后添加jQuery.noConflict()以保证与其他js 库的兼容,因此那些通过 $ 代替jQuery的缩写代码会失效。详见《WordPress中的jQuery库不起作用的相关问
为你网站的用户留下良好的第一印象是非常必要的。随着商业领域的竞争,拥有一个吸引人的网站可以帮助你脱颖而出。研究表明,如果加载时间超过3秒,会有 40% 的用户放弃访问你的网站(https://www.optimumsystemsonline.com/business-success/5-stats-that-will-make-you-monitor-web-performance/)。
本文分享的Writeup是关于WordPress的DoS通杀漏洞CVE-2018-6389,该漏洞影响3.x至4.x所有版本的WordPress程序,作者针对该漏洞对目标网站进行了测试验证,从而获得了$700的漏洞赏金,以下是其分享。
在开发 WordPress 插件或者是制作 WordPress 主题的时候,都会引用一些 JavaScript 和 CSS 脚本资源。通常大家直接使用 link、script 标签写进 HTML 当中,其实 WordPress 内置了比较完善的引用脚本的函数和方法。显然,使用 WordPress 内置的方法引用,更专业更具有可扩展性一些。
Sucuri的网络安全研究人员发现了一场大规模的活动,该活动通过在WordPress网站注入恶意JavaScript代码将访问者重定向到诈骗内容,从而导致数千个WordPress网站遭破坏。感染会自动将站点的访问者重定向到包含恶意内容,即网络钓鱼页面、恶意软件下载、诈骗页面或商业网站的第三方网站,以产生非法流量。这些网站都有一个共同的问题——恶意JavaScript被注入到他们网站的文件和数据库中,包括合法的核心WordPress文件,例如:
WordPress 5.6 发布,这个版本发布了新的默认主题 2021,然后给古腾堡增加大量的模块,让你更加方便插入图片,声音和视频。
WordPress 主题最佳引用 js 文件的方法是使用 WordPress 内置的 wp_enqueue_script() 函数,通过该函数可以安全地将javascript 代码加入到 WordPress 创建的页面中,不仅可以最大限度地保证兼容性,还是提高 WordPress 性能效率的一个方法。
博客搭建了有一段时间了,最近发现后台打开的特别慢,之前也比较慢。不过可能最近比较高产,想写点东西,后台打开的速度让有一点点代码洁癖的我有点无法忍受。
FreeBuf 先前报道过,分发挖矿 javascript 的网站 CoinHive 被黑了,而且影响范围很广,今天,又有新闻爆出,前端领域经久不衰的老牌第三方库 jQuery 的官方博客也被黑了。 jQuery 今天早些时候,网名为“n3tr1x” and “str0ng” 的黑客篡改了 jQuery 官方博客(blog.jquery.com)的主页。而 jQuery 的官方博客使用的是 WordPress 后台内容管理系统。我们在截图中可以看到,黑客使用了 Leah Silber (jQuery 核
一般来说,在html页面底部 (也就是</body>之前)引入JavaScript,如jQuery 和 jQuery插件是个不错的做法。原因很简单,HTTP / 1.1规范表明浏览器不能并行下载两个以上的组件。
作为网站的基础,WordPress主题对网站加载速度具有重要影响。一个设计不好,代码杂乱的WordPress主题会严重影响网站加载速度,进而影响网站排名。相反,一个设计良好,代码简洁的WP主题会加载很快,有助于提升网页排名。在本文中,我们已经为你整理了一些速度快且适合SEO的WordPress主题。
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。
在 wordpress 主题或插件中加载 JavaScript 时,官方推荐的方法是使用 wp_enqueue_script() 来加载,该函数可以指定 JavaScript 的依赖库,指定 JavaScript 文件的版本,设置在页面头部或者底部加载,非常灵活和方便。但是,该插件缺少指定在某些页面加载 JavaScript 的设置参数。所幸的是,我们可以通过 WordPress 的函数自己动手来实现这个功能。
每个插件和主题可能有自己的 CSS 和 JavaScript 内联代码或者文件,如果 CSS 和 JavaScript 内联代码或者文件一多,就开始出现了两个比较难受的问题:
WordPress网站产生的max_execution_time致命错误在您的WordPress管理仪表盘中如下所示:
安全研究人员又发现了超过2000个WordPress站点,感染了被加载到WordPress后端登录页面的键盘记录器,研究人员将这些新发现的感染地点与 2017年12月初发生的类似行动联系起来。 回顾: 2017年12月发生的事件: 在将近5500个受感染的WordPress网站上发现了键盘记录器 将近5500个WordPress站点被恶意脚本所感染,这些脚本记录键盘敲击,有时还会使浏览器加载加密的程序。 恶意脚本从“cloudflare.solutions ”的域名加载,它与Cloudflare没有任
记得当时在做这个博客网站的时候,确实搞了很多花样。记得当时完live2d看板娘的时候就花了很多时间在这上面,毕竟是一步一步探索,都是从未知开始,今天我来分享总结一下Live2d的使用经历。
一个非常简单的键盘记录程序,可捕获击键并将其每秒发送到外部页面.JS和PHP代码在归档中提供的PHP。
自从又开始迷上了WordPress,每天都会花不少时间在WordPress相关的网站上闲逛,这感觉竟然有点像分手复合又陷入了热恋的情人,没事就腻歪在一起,要把之前错过的时间都补回来。。。
启用了autoptimize来优化页面加载。其主要功能是优化压缩html,合并js和css代码,减少http请求次数,加快页面加载。 但启用后就发现页面加载存在异常,console有报错信息。
之前测试了一下WP Super Cache静态插件,这次又测试了cos-html-cache静态缓存插件,重点还是解决wp-postviews插件与HotNews Pro主题兼容问题。
在网上查资料闲逛,偶然间看到了张戈博客的评论框有点意思,于是就收走拿到了我的米扑博客。
wordpress速度慢是很多人比较棘手的问题,找人优化加速,动不动就是天价,最后不得已还是的自己动手慢慢搞,不过对于很多新手似乎是无从下手,不知道问题出在哪里,盲目的去做各种的优化和加速,然后结果不理想。今天就就给大家分享一些问题的诊断思路和对症下药。(原文地址:https://zouaw.com/9052.html)
在文件 WordPress/wp-admin/load-scripts.php 中:
原本之前还有篇ruby的,拖得时间有点久了,同时本身没想过去过多接触ruby,所以暂且就不再祸害那篇文章了,有兴趣的可自己去看Creating a Ruby DSL: A Guide to Advanced Metaprogramming,以下为本文的英文原文链接:
Fancybox For WordPress是一款很棒的WordPress图片插件,它可以让你的WordPress图片弹出一个漂亮的浏览界面,展示丰富的弹出层效果。 上周安全研究人员发现部分Wordpress博客遭遇了批量挂马,而这些博客的共同点就是都安装了这款Fancybox插件。研究人员经过分析,找到了这款插件中的漏洞。 漏洞分析 这个漏洞存在于低于3.0.2版本的插件,而漏洞利用的是一个针对wp插件的一个比较常见的攻击途径:未经保护的admin_init钩子。 由于admin_init钩子可以
使用PHP Simple HTML DOM Parser这个库,然后自己对DOM选择器做一下二次封装,基本上可以应付一部分WordPress站点。
作者:matrix 被围观: 1,094 次 发布时间:2011-10-03 分类:Wordpress 兼容并蓄 | 无评论 »
欢迎访问我的网站http://www.wenzhihuai.com/ 。感谢,如果可以,希望能在GitHub上给个star,GitHub地址https://github.com/Zephery/newblog 。 建站的一开始,我也想自己全部实现,各种布局,各种炫丽的效果,想做点能让大家佩服的UI出来,但是,事实上,自己作为专注Java的程序员,前端的东西一碰脑子就有“我又不是前端,浪费时间在这合适么?”这种想法,捣鼓来捣鼓去,做出的东西实在是没法看,我就觉得,如果自己的“产品”连自己都看不下去了,那还好意
WordPress 的 wp_localize_script 函数从它名字可以看出它是用来进行前端本地化的,它的工作方式是加载翻译之后的文本,接着将它们当做一个 JavaScript 对象输出到 HTML 中,然后 JS 脚本就用该对象去输出对应语言的文本了。
之前测试了一下WP Super Cache静态插件,这次又测试了cos-html-cache静态缓存插件,重点还是解决wp-postviews插件与HotNews Pro主题兼容问题。-cache-static-caching-plugin.html
每次修改 WordPress 的 css 和 js 文件,都要主动清理文件的缓存才能生效,尤其是采用了 oss 和 cdn 回源。使用函数 filemtime() 获取文件修改时间戳,并以此做版本号,
网站优化网站加速一直是一个持久的话题,及时今天我们的网络宽带速度越来越好了,但是对于速度的追求是无止境的,文章来源:https://zouaw.com/
性能是一个网站成功的非常关键因素,任何人都不喜欢访问速度超慢的网站。WordPress 的开放性造就 WordPress 有着成千上万的插件,使得 WordPress 比以其他 CMS 程序更受欢迎,但是开放也在一定程度上使得 WordPress 的性能不是很好,所以当你发现你的 WordPress 站点性能很差,你应该尝试通过下面的方式去优化它:
本指南提供了一个测试环境,用于说明优化WordPress的过程。环境有两个组成部分:
昨天整理了一下Genesis的系列教程的翻译进度,汇总成了一个页面 神级 WordPress 主题框架 Genesis 从入门到精通 。今天突然想放一个进度条,可以直观看下显示一下翻译了几篇。
WordPress 中的jQuery 库问题曾经困扰了我一段时间。如果仅仅加载WordPress 自带的jQuery 库,在使用一些jQuery 插件的时候明明是代码没有错误,但就是不起作用,该有的效果不能实现;但加载了原版的jQuery 库却又可以了,这样一来却同时加载了两个jQuery 库,网页速度拖慢了而且根本没有必要。 后来才了解到:为了防止与其他 JS 库(如 YUI)冲突,WordPress 内置 jQuery 库的末尾都在原版的基础上加入了 jQuery.noConflict()这个东东,以至
WordPress 4.5 正式发布,这个版本改进了编辑和定制功能,让你在撰写博客的时候更加方便和顺畅。
这一天终于来了,从此你不仅仅“不应该”使用mysql_函数。PHP 7 已经把它们从核心中全部移除了,也就是说你需要迁移到好得多的mysqli_函数,或者更灵活的 PDO 实现。
在新发布的 WordPress 2.2 中,内置 Widget 支持可能吸引了大部分人的注意。这里所讲的三点对 WordPress 插件和主题开发者也是非常有用的。
WordPress作为建站程序,用的人多、技术文章多、主题多、插件多,其中插件对新手的诱惑很大,本人刚接触Wordpress 时也与众多新手一样没技术没经验,除了到处找主题模板,就是返来复去安装测试各种插件,最多时后台安装二、三十个,最后连自己都不知道这些插件是干麻用的了。可能新手总是好奇想知道我这个老鸟都用什么插件,那就晒一晒本站所用插件:
什么是跨域 跨域是指从一个域名的网页去请求另一个域名的资源。比如从www.baidu.com 页面去请求 www.google.com 的资源。跨域的严格一点的定义是:只要 协议,域名,端口有任何一个的不同,就被当作是跨域 为什么浏览器要限制跨域访问呢? 原因就是安全问题:如果一个网页可以随意地访问另外一个网站的资源,那么就有可能在客户完全不知情的情况下出现安全问题。比如下面的操作就有安全问题: 用户访问www.mybank.com ,登陆并进行网银操作,这时cookie啥的都生成并存放在浏览器 用户突然想
jQuery 是迄今为止在网络上运行时间最长、影响最大的 JavaScript 库之一,市场占有率达到了惊人的 78% ,最高时超过 千万 个网站以各种方式使用 jQuery,根据 BuiltWith 的统计至于现在最受关注的 JavaScript 库 React 的使用率只有相对微不足道的 14%。
虽然玩wordpress,但对wordpress和php内部了解不多,这篇文章算是自己的视野扩展吧,不足之处,欢迎指出,老规矩,能力强的可以直接读原文。
WP更新以后就提示建议升级php,目前正在使用不安全的版本7.3.12。还很友好的带了一个升级指南,但是点过去会发现并没有什么卵用。现有的服务器是基于lnmp来提供的服务,于是尝试直接更新php7.4,通过apt install php7.4的方式,安装成功了,修改nginx的cig设置,php也能运行了,但是很不幸的是tmd数据库连不上了,尝试升级数据库,最后以各种失败告终。
跨域是指从一个域名的网页去请求另一个域名的资源。比如从www.baidu.com 页面去请求 www.google.com 的资源。跨域的严格一点的定义是:只要 协议,域名,端口有任何一个的不同,就被当作是跨域
在实际开发中,还有很多常用组件,例如,分页、按钮、输入框、导航栏、日期/时间选择器、图片输入,等等。很明显的是这些组件的通用性已不单单存在于一个项目内,而是所有的项目都需要!这是个比拼开发速度的年代,我们已经没有时间重复发明轮子了,最正确的选择是使用界面框架,例如Bootstrap、UIkit、Foundation等来代替这种大量的重复性极强的界面样式开发工作。
领取专属 10元无门槛券
手把手带您无忧上云