如果您不使用它,请简单有效地禁用WordPress REST API。 WordPress预先打包了一个强大的REST API,非常适合某些用例,但它也带来了一些安全风险和担忧。...如果你不想使用REST API,最好禁用它。有一个插件可以为你做这个名为Disable REST API,但它非常臃肿。...如果您只想禁用内置WordPress REST API以及位于其下的所有相关请求/wp-json,则可以在当前主题的functions.php文件中添加下面的代码即可禁用: * Disable JSON...API * * We don't need it, so let's remove it. */ function kl_kill_wp_json_api() { request_uri...WordPress网站的缓慢,难以维护。
WordPress 4.4 推出 REST API,这个是非常棒功能,通过 REST API 生成的 JSON 接口,可以很轻松的获取网站的数据,可应用于其他网站、手机 APP 或小程序等。...不过 WPJAM Basic 在这之前就推出自己 JSON API 解决方案,或者你博客没有任何客户端,那么你可以屏蔽 WordPress REST API 功能。...在 WordPress 4.7 版本之前可以通过在当前主题的 functions 文件中添加入下代码屏蔽 REST API: // 屏蔽 REST API add_filter('rest_enabled..., 'rest_output_link_header', 11 ); 但是 WordPress 4.7 开始,REST API不再能被完全禁用,不过可以用 rest_authentication_errors...过滤器来限制对 REST API 的访问。
WordPress 自4.7 版本后与时俱进推出了REST API,如此一来想象空间又扩展了许多,如今WordPress 可以完全作为后端数据驱动了。...本文通过几个例子展示如何定制化输出WordPress REST API 的相关数据。...秉承“如无必要,勿增实体”的原则,减少请求时候的数据量,可以通过下面的代码移除: // https://devework.com/wordpress-rest-api-dynamic-output.html...特定字段而非全部,则通过类似下面代码: // https://devework.com/wordpress-rest-api-dynamic-output.html function dw_rest_prepare_post...先看下面的例子: # https://devework.com/wordpress-rest-api-dynamic-output.html location /wp-json { if (
漏洞简介 在REST API自动包含在Wordpress4.7以上的版本,WordPress REST API提供了一组易于使用的HTTP端点,可以使用户以简单的JSON格式访问网站的数据,包括用户,帖子...上周,一个由REST API引起的影响WorePress4.7.0和4.7.1版本的漏洞被披露,该漏洞可以导致WordPress所有文章内容可以未经验证被查看,修改,删除,甚至创建新的文章,危害巨大。...WP REST API 首先来说一下REST API。...可以看到在register_rest_route中对路由进行了正则限制: ? 也就是防止攻击者恶意构造ID值,但是我们可以发现$_GET和$_POST值优先于路由正则表达式生成的值: ?.../www.exploit-db.com/exploits/41223/ https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html
WordPress JSON REST API (WP API) 简介 这个插件(WordPress JSON REST API (WP API))提供了一个易于使用的REST API,让我们可以通过...WP API为WP查询创建了一个简单而方便的接口,文章API,文章元数据API,用户API,版本API等等。WordPress能做的事情,WP API同样可以让你做到,并且更加方便。...WordPress JSON REST API (WP API)的使用 WP REST API插件的使用还是非常简单的,在Wordpress后台下载安装好WP REST API插件后,启用插件,注意...用以确定用户是否可以发表评论,默认为设置选项 ‘default_comment_status’的值, 或 ‘closed’....(boolean) optional post_meta – 文章的元数据,文章元数据应该是一个或多个元数据对象的数组,查看使用端点键值对创建文章元数据章节。
全新开发的用于 wordpress微信小程序的插件 REST API TO MiniProgram 今天上线WordPress官方插件库。...REST API TO MiniProgram插件的wordpress官方下载地址:https://wordpress.org/plugins/rest-api-to-miniprogram/ ?...一.功能介绍 REST API TO MiniProgram 插件并没有大规模重写wordpress官方提供的rest api 接口,是官方api的扩充和优化,主要是为了满足微信小程序的功能。...你可能也会喜欢以下文章: WordPress版微信小程序2.1.5版发布 利用WordPress REST API 开发微信小程序从入门到放弃 优秀WordPress版微信小程序推荐(一) WordPress...版微信小程序开发系列(一):WordPress REST API WordPress版微信小程序2.2.0版发布 WordPress版微信小程序2.1.8版发布 WordPress版微信小程序2.0版本发布
在4.7.0版本后,REST API插件的功能被集成到WordPress中,由此也引发了一些安全性问题。...近日,一个由REST API引起的影响WorePress4.7.0和4.7.1版本的漏洞被披露,该漏洞可以导致WordPress所有文章内容可以未经验证被查看,修改,删除,甚至创建新的文章,危害巨大。...复现环境: Apache 2.4 PHP 7.0 WordPress4.7.1 4.复现过程: (1) 安装WordPress并配置REST API ① 配置Apache+PHP+Mysql的运行环境,...(2) 漏洞复现 ①根据REST API文档,修改文章内容的数据包构造如下: ?...这种行为本身不失为一种防止攻击者编制恶意ID值的好方法,但是当查看REST API如何管理访问时,研究人员很快发现其给予$_GET 和$_POST值的优先级高于路由的正则表达式生成的值。
通过查询相关文档发现WordPress 4.4版本以后增加了一个REST API功能, 通过REST API可以很轻松的获取网站的数据,但是这个功能并不是每个网站都需要的,或者说有需要但并不希望它在head...里面输出,那么可以禁用REST API或者说移除head里面wp-json链接。...// 屏蔽 REST API add_filter('rest_enabled', '__return_false'); add_filter('rest_jsonp_enabled', '__return_false...'); // 移除头部 wp-json 标签和 HTTP header 中的 link remove_action('wp_head', 'rest_output_link_wp_head', 10...); remove_action('template_redirect', 'rest_output_link_header', 11 ); 另外需要注意的是,屏蔽 REST API 会直接导致
背景 才发现好像没做博客必须的一个功能——归档,赶快补上吧 查询了 WordPress REST API 文档之后,发现每次请求的文章总数( 也就是 per_page 参数 )不可以超过 100,但是归档页面理应展示全部文章...,于是需要在 function.php 增加以下钩子和函数拓宽这个限制 https://github.com/WP-API/WP-API/issues/2914 add_filter( 'rest_post_collection_params...params['per_page']['maximum'] = $count_posts->publish; //增加限制到当前文章总数 } return $params; } 代码 WordPress...REST API 默认以 date (文章发布日期) 来排序文章输出,所以可以遍历全部文章,判断上下篇发布年份来按照年份归档文章 //获取文章列表 axios.get('https
这篇文章主要记录自己在开发第一版的过程,顺便为有兴趣的你剖析如何将一个WordPress 网站借助 REST API 开发微信小程序版。本文目标受众为了解WordPress 且有初级前端知识的同学。...原理篇 WordPress 与 REST API WordPress 在4.4 版本后推出了 REST API, REST API 简单来说就是一种通过 HTTP 请求来获取、更新、删除数据的一种连接客户端与服务端的交互方式...WordPress + 小程序 微信小程序通过 REST API 获取到 WordPress 网站上的数据,然后通过一定的方式在小程序端进行数据处理后通过前端代码渲染,然后就是你在微信客户端上看到的界面...WordPress 的REST API 现在开发得已经很完善了,什么文章数据、页面数据、用户数据等都不在话下,把 WordPress 作为小程序的后端实在是省了不少人力,至少对我们这些前端狗来说不用写苦逼的后端代码...另外在开始开发之前,我在服务端对WordPress REST API 进行了一些定制化的输出。
WordPress REST API WordPress 在4.4 版本开始推出了 REST API,如果你使用的是最新版本的WordPress应该会提供REST API的功能。...简单来说WordPress REST API,就是用浏览器通过http的方式访问WordPress提供的REST API 链接 ,可以获取WordPress网站的”内容”,这个”内容”是以json的格式返回到浏览器...有关WordPress REST API 详细的介绍详见链接:https://developer.wordpress.org/rest-api/ WordPress REST API 链接通常和WordPress...的安装路径、Url重写有关,因此WordPress REST API 链接可能有差异,主要差异在WordPress 本身的链接规则上,相同的部分是REST API 路由部分。...per_page=8&page=1&orderby=date&order=desc …(省略号部分):依据WordPress网站自身规则。
WordPress 从 4.4 版本开始新增的 JSON REST API 功能,通过这个 REST API 可以很轻松的获取网站的数据,可应用于其他网站、手机 APP 或小程序等 前段时间使用过这个做了一段时间的小程序...API来完全禁用 REST API,但我更倾向纯代码的方法,在这里就介绍下代码版兼容所有 WordPress 版本的完全禁用 REST API 或者说移除 head 里面 wp-json 链接的方法...直接将以下代码添加到主题的 functions.php 文件中即可禁用 JSON REST API : // 屏蔽 REST API if ( version_compare( get_bloginfo...', 'disable_rest_api' ); } else { // Filters for WP-API version 1.x add_filter( 'json_enabled...原创文章采用CC BY-NC-SA 4.0协议进行许可,转载请注明:转载自:WordPress最新版完全禁用JSON REST API输出站点信息
禁用 WordPress Rest API 默认路由后有利于 WordPress 站点安全及避免暴露网站所有内容,所有子凡的所有 WordPress 网站都是直接禁用了 WordPress 默认路由的,...但是由于 WordPress 默认使用块编辑器(古腾堡 Gutenberg),所有如果直接使用代码禁用 WordPress Rest API 默认路由就会导致后台编辑器无法正常使用。...故此子凡就来分享一个兼容 WordPress 编辑器的情况下,对外也能够禁用 WordPress rest api,具体代码如下: add_action('plugins_loaded',function...is_user_logged_in() || current_user_can('edit_posts') ) remove_filter( 'rest_api_init', 'create_initial_rest_routes...除非注明,否则均为泪雪博客原创文章,禁止任何形式转载 本文链接:https://zhangzifan.com/wordpress-rest-api-support-gutenberg.html
image.png 还是一样,如果你是第一次看本系列文章,建议先过目之前的文章: 《WordPress 网站基于REST API 开发“微信小程序”实战》 《WordPress 网站开发“微信小程序“...重磅功能 前言 将WordPress 作为小程序的后端,建议是做一些针对性的优化(如《WordPress REST API 定制化输出》)以减少HTTP 请求传输过程中不必要字节数。...2)用Node + Redis 写了一个小型的后端,用来转发与缓存 WordPress REST API,Redis 作为内存数据库的缓存机制确保了读过程的快速;这个额外写的后端承载的另外功能是,将原本在小程序端进行的数据处理...但可以通过如下代码去hack 下: // https://devework.com/wordpress-weapp-5.html // REAT API 允许匿名评论 function dw_rest_allow_anonymous_comments...在这里献上PHP 的核心代码: // https://devework.com/wordpress-weapp-5.html // 在rest api 上输出相关文章 function raa_get_related_posts_by_id
rest_route=/wp/v2/users 绕过 2. WordPress.com API 第二种方法已经在之前关于 Jetpack 电子邮件公开披露的博客文章中进行了描述。...对于 Jetpack 插件,包括用户列表在内的数据会导出到 wordpress.com 并通过公共 REST API 提供。....*******.com/wp-json/wp/v2/users 已屏蔽 https://public-api.wordpress.com/rest/v1.1/sites/blog.*******.com...设置,将在网页和REST响应中隐藏头像。 我们也找到了一个解决这些问题的方法。该端点支持参数 "搜索"。它的值与所有用户的字段匹配,包括电子邮件地址。...Yoast SEO Yoast SEO是一个WordPress插件,可以帮助博客作者预览博客在搜索引擎中的显示方式,同时对完成关键的网站元数据有一定帮助。
0x02 漏洞概述 Defiant的Wordfence威胁情报团队在一个不受保护的REST-API端点中发现了Rank Math特权升级漏洞。...根据Defiant QA工程师Ram Gall的说法,成功利用此漏洞“使未经身份验证的攻击者可以更新任意元数据,其中包括为站点上任何注册用户授予或撤消管理特权的能力”。...0x03 影响版本 rank math 插件<=1.0.41.1版本 0x04 环境搭建 前置条件: 插件(手动安装): WP Rest API(https://cn.wp.xz.cn/plugins.../rest-api/) rank math(https://downloads.wordpress.org/plugin/seo-by-rank-math.1.0.40.zip) phpstudy(...php7.0) wordpress 4.9.0(由于rank math的问题,必须至少大于这个版本) 激活rest-api后,在“固定链接”中设置固定链接为“文章名”。
在 WordPress 中,使用 WP_Query 进行文章查询是最常见的操作,学习好这方面的操作, WordPress 开发基本就学会了一半。...「WordPress果酱」将通过一系列教程讲解如何使用 WP_Query 进行 WordPress 文章查询。...第六讲关于排序相关的参数,排序相关的参数就是 order 和 orderby 两个参数,但是值比较多比较多: 首先是 order 参数,数据类型为:(string | array),用于指定 “orderby...” 参数的升序或降序,默认为”DESC”,即为降序,如果是数组的话,可用于多个 order/orderby 集: ASC – 升序,从最低值到最高值 (1, 2, 3; a, b, c) DESC –...降序,从最高值到最低值 (3, 2, 1; c, b, a) 然后是 orderby 参数,数据类型为:(string | array),按参数对检索到的文章进行排序。
WordPress 的友情链接大多数都是以名称默认排序的 而在 WordPress 中后台添加友情链接基本上都是这个方法 //添加友链按钮 add_filter('pre_option_link_manager_enabled...> 具体的对应参数可以看一下 WordPress 的文档 对于修改顺序我们只需要使用orderby,排序的话可以使用order orderby默认的值为name,默认根据添加的友链网站名称排序,order...的默认值为ASC,所以默认是升序 排序支持很多参数,这里列举几个常用的,完整的还是看文档:link_id,rand,rating id就相当于是添加时间排序了,先添加的id肯定小,在前面 rand就是随机显示...,我这里采用随机展示 wp_list_bookmarks('orderby=rand&category_before=&category_after=<...原创文章采用CC BY-NC-SA 4.0协议进行许可,转载请注明:转载自:WordPress 自定义友情链接顺序位置的方法
对于缓存优化,目前大部分都是针对WordPress 的web网站页面数据缓存,对于通过WordPress rest api获取的数据(json数据)缓存并没有效果。...微慕小程序后端采用的WordPress rest api。...下图是没有使用rest api 缓存的加载速度 ? 下图是使用了 rest api 缓存的加载速度 ?...当然这个加载时间只是一个参考值,加载的速度和服务器的性能、网络和客户端相关,因此提高的速度也只能作为一个参考。...特别对于文章数量很多的WordPress网站,api加载提速更加明显;同时对于服务器性能不是很高的WordPress站,api访问提速效果也会比较明显。
=> true, // bool (默认为 TRUE) // 是否暴露在 Rest API 中 'show_in_rest', // 布尔值...,默认为 false // 使用 Rest API 访问的基础 URI 别名 'rest_base', // 字符串,默认为文章类型别名...// 使用自定义 Rest API 控制器而不是默认的 WP_REST_Posts_Controller,自定义控制器必须继承 WP_REST_Controller 'rest_controller_class...'comments', // 显示评论元数据盒子,如果设置了该值, 这个文章类型将支持评论 'trackbacks', // 在编辑界面显示允许发送链接通知的元数据盒子...'custom-fields', // 显示自定义字段元数据盒子 'revisions', // 显示版本元数据盒子,如果设置了该参数,WordPress 将在数据库中保存文章版本
领取专属 10元无门槛券
手把手带您无忧上云