开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Wordpress admin-ajax.php在POST时返回0和状态400，在GET上工作

WordPress是一种流行的开源内容管理系统（CMS），用于构建和管理网站。admin-ajax.php是WordPress中的一个核心文件，用于处理前端和后端之间的异步请求。在POST请求时返回0和状态400的问题通常是由以下几个原因引起的：

权限问题：admin-ajax.php文件可能需要特定的权限才能执行请求。确保该文件具有适当的权限，以便能够处理POST请求。
插件或主题冲突：某些插件或主题可能会与admin-ajax.php文件发生冲突，导致返回0和状态400。尝试禁用最近安装的插件或更换主题，然后再次测试POST请求。
错误的请求参数：POST请求可能包含错误的参数，导致admin-ajax.php无法正确处理请求。确保请求中的参数正确且完整。
安全设置：WordPress具有一些安全设置，可能会限制或阻止admin-ajax.php文件的访问。检查WordPress的安全设置，并确保admin-ajax.php文件没有被禁止访问。

针对这个问题，可以尝试以下解决方案：

检查文件权限：确保admin-ajax.php文件具有适当的权限，一般情况下应该是644或755。
禁用插件或更换主题：尝试禁用最近安装的插件或更换当前使用的主题，然后再次测试POST请求。
检查请求参数：确保POST请求中的参数正确且完整，可以通过查看前端代码或使用开发者工具来检查请求参数。
检查安全设置：检查WordPress的安全设置，确保admin-ajax.php文件没有被禁止访问。

如果以上解决方案都无效，可以尝试搜索WordPress官方论坛或开发者社区，寻找类似问题的解决方案。另外，腾讯云提供了一系列与WordPress相关的产品和服务，例如云服务器、云数据库、CDN加速等，可以根据具体需求选择适合的产品。具体的产品介绍和链接地址可以在腾讯云官方网站上找到。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

CVE-2022-21661：通过 WORDPRESS SQL 注入暴露数据库信息

插件和主题使用此对象来创建他们的自定义帖子显示。当插件使用易受攻击的类时，就会出现该漏洞。一个这样的插件是Elementor Custom Skin 。...对于这篇文章，我们针对 WordPress 5.8.1 版和Elementor Custom Skin插件 3.1.3 版测试了该漏洞。.../ajax-pagination.php 当请求发送到wp-admin/admin-ajax.php并且操作参数是ecsload时，调用get_document_data方法。 ...图 5 - wordpress/wp-includes/class-wp-tax-query.php 请注意，get_sql()返回的sql变量附加到 SQL SELECT 语句并使用从该方法返回的字符串进行组装...查看完整尺寸图 7 - wordpress/wp-includes/class-wp-tax-query.php 的 clean_query 方法结论对 WordPress 网站的主动攻击通常集中在可选插件上

3.8K1 0

【Wordpress】ajax 实现站内搜索

在官方手册中也有介绍到：wp_query，支持多种 sql 语句的比较符号： ? 看！他说可以支持 like 或者 regexp 这种比较符号。...所以，我们将会用到 wordpress 自带的 admin-ajax.php 文件。...wp_die() //接口响应结束用这个函数结尾，否则会一直走到这个当前页面最下面，多返回一个 0; 需要将下面的代码添加到 if ( is_user_logged_in() ) 这个代码之前！！！...$_GET['keyword']; // 指定返回头 header("Content -Type: application/json"); if (empty($keyword)...$_GET['keyword']; // 指定返回头 header("Content -Type: application/json"); if (empty($keyword)) {

1.2K1 0

使用Web日志还原攻击路径

发现网站被攻击之后，运维团队将服务器断网下线处理，保持系统及其日志的当前状态，以便能够进一步分析调查。通常我们需要创建一个服务器硬盘镜像备份，然后在镜像虚拟机做一些操作去溯源。.../wp-login.php" 84.55.41.57 - - [17/Apr/2019:07:00:32 +0100] "POST /wordpress/wp-admin/admin-ajax.php...28" 84.55.41.57 - - [17/Apr/2019:07:57:31 +0100] "POST /wordpress/wp-admin/admin-ajax.php HTTP/1.1" 200...84.55.41.57 - GET /wordpress/wp-admin/admin-ajax.php?...84.55.41.57 - POST /wordpress/wp-admin/admin-ajax.php 200 - http://www.example.com/wordpress/wp-admin

1.5K1 1

WordPress流氓主题利用户服务器做肉鸡发动DDos攻击

然而这是在pipdigz.co.uk上的一个文件（id39dqm3c0_license_h.txt）上执行GET请求，该文件昨天早上在响应正文中返回了“https://kotrynabassdesign.com...当响应主体不为空时，即当它包含该URL时，以下代码使用伪造的用户代理向响应中的admin-ajax.php URL发送第二个GET请求： $rcd = trim($response['body']);...这有效地在kotrynabassdesign.com的服务器上执行小规模DDoS（分布式拒绝服务）。 Kotrynabassdesign是一个和pipdig类似的wordpress主题提供商： ?...我和Kotryna谈到了这些要求，以排除与pipdig的某种共同安排，她说：在分析人员为了和Kotryna联系以排除是否和pipdig有合作之后，负责人说了下面的话： “我的网络主机实际上遇到了很大麻烦...https://pipdigz.co.uk/p3/id39dqm3c0.txt”上执行GET请求。

1.1K2 0

渗透测试之黑白无常“续”

艰难挺近后台经过上一个网站的铺垫，所以当打开目标网站后，第一时间感觉系统属于WordPress框架，然后尝试默认后台/wp-admin/能否访问。 ?...后台为默认后台，但是账号却不再是弱口令，在尝试了大量的弱口令和常用口令后，都未成功，针对前台的一系列测试也并没有取得一定的成功，测试到这一时陷入僵局。...浪费了很多时间之后终于进入后台了，但是发现该后台和上一篇文章遇到的情况一样，插件上传或者主题上传，或者编辑插件编辑主题编辑404页面等功能全部被删除或者不可用，并且以前遇到过的Popup Builder...根据上图可以看到该方法使用WDWLibrary类的get方法接受的参数，并且如果不存在给默认值为0，查看一下该get方法是否有过滤参数。 ?...使用stripslashes删除反斜杠，根据变量追踪变量esc_html在get方法中默认是true，所以这里的if也会进入，将变量value是要esc_html函数进行处理，WordPress的esc_html

2.1K1 0

WordPress二次开发之调用ajax

默认值：None $src：（可选）WordPress网站根目录下的JS路径。如：”/wp-includes/js/xxx.js”。...$in_footer：（可选）默认值：false，放置在区块中。为true时，会出现在区最下方，但必须有wp_footer()钩子。...中对ajax进行处理，这样做就是修改了核心文件观察 admin-ajax.php 发现其挂载了两个钩子wp_ajax_...和wp_ajax_nopriv_......我们在初始化的时候将函数添加到这两个钩子上即可在插件中对ajax请求进行处理在构造函数中 public function __construct() { add_action(...echo 'ok'; } //ajax 处理结束 wp_die(); } 测试的结果在前台也可以使用ajax 示例标题被点击时输出后台的返回值

8301 0

从瑞士军刀到变形金刚--XSS攻击面拓展

php $username = $_GET['user']; echo "Hello, $username"; 当我们传入普通的username时候，返回是这样的当我们插入一些恶意代码的时候...>'); 这部分的代码看似简单，实际上还有很大的优化空间，就比如： 1、优化执行条件：通过和远控（xss平台）交互，获取时间戳，和本地时间做对比，如果时间不符合要求不执行，避免管理员在后台的多次访问导致...2、通过代码混淆等方式，将代码混淆入原本的代码中，避免安全类防御工具在站内扫面时发现此页面。...这种漏洞一般比较适合新闻类站点的xss漏洞，在wordpress上我没找到合理的利用方式，就不展示demo了，贴一张brutelogic在ppt中的demo截图。...攻击和防护的一些思路见在前面部分的内容，花了大篇幅来描述XSS在前台中的影响，关于后台的部分只有一部分通过编辑插件实现的XSS to Rce.但实际上还有更多拓展的可能。

4861 0

为 WordPress 添加前台 AJAX 注册登录功能

此功能的实现是由 AJAX 提交表格数据代替 PHP submit 提交至 WordPress 自带的 admin-ajax.php，再进行 WordPress 内部的 PHP 验证处理，基于功能简化要求...，使用了 jquery 表单验证库，在输入界面就提醒用户的明显错误，如邮箱格式不正确等等。...首先使用 PHP 和 CSS 组织基本界面，点击登录或注册弹窗锚点，PHP 代码如下： get_error_message() ) : 'ERROR: ' . esc_HTML__( '请输入正确用户名和密码以登录', 'tinection' );...任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益，可联系我们进行处理。

1.6K1 1

利用Spark通过nginx日志离线统计网站每日pv

可以很好的比较mapreduce和Spark的写法。在个人看来，Spark写起来更加优美简洁，有一种四两拨千斤的感觉。... * 通过nginx日志统计每日pv，并按照日期和pv排序 * by me: * 我本沉默是关注互联网以及分享IT相关工作经验的博客， * 主要涵盖了操作系统运维、计算机编程、项目开发以及系统架构等经验...true if (fields.length <= 11) { valid = false } else { valid = if (status.toInt >= 400...time_local: String, //来访时间 request: String, //受访页面 status: String, //状态...doing_wp_cron=1379488288.8893849849700927734375 HTTP/1.0" 200 0 "-" "WordPress/3.6; http://itunic.com

1.8K2 0

WordPress RegistrationMagic V 5.0.1.5 SQL 注入

操作中转义用户输入在批量复制任务时在 SQL 语句中使用它之前，这可能会导致 SQL 注入问题。...': username, 'pwd': password, 'wp-submit': 'Log In', 'testcookie': '1' } auth = session.post..."rmc_action_send_mail_sub": '', "rmc_action_send_mail_body": '' } # Create project a = session.post...payload for sqlmap print ('[+] Payload for sqlmap exploitation:') cookies_session = session.cookies.get_dict...exploitcode_url + exploitcode_risk + exploitcode_cookie + ' ' + retrieve_mode + ' -p task_ids[] -v 0'

2864 0

WordPress安全架构分析

文章搞得乱七八糟给大家添麻烦了，干货不多，有需要的人阅读就好了 0x01 前言 WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。...在zoomeye上可以搜索到的wordpress站点超过500万，毫不夸张的说，每时每刻都有数不清楚的人试图从wordpress上挖掘漏洞… 由于前一段时间一直在对wordpress做代码审计，所以今天就对...0x04 Wordpress的过滤机制除了Wordpress特有的nonce机制以外，Wordpress还有一些和普通cms相同的的基础过滤机制。...https://paper.seebug.org/140/ 事实上，在wordpress插件目录中，wordpress本身并没有做任何的处理，当你的用户权限为超级管理员时，wordpress默认你可以对自己的网站负责...短代码是一个比较特殊的东西，这是Wordpress给出的一个特殊接口，当文章加入短代码时，后台可以通过处理短代码返回部分数据到文章中，就比如文章阅读数等… 当我们传入 [wpstatistics stat

1.5K2 0

Wordpress安全架构分析

作者：LoRexxar'@知道创宇404实验室发表时间：2017年10月25日 0x01 前言 WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。...WordPress是目前因特网上最流行的博客系统。在zoomeye上可以搜索到的wordpress站点超过500万，毫不夸张的说，每时每刻都有数不清楚的人试图从wordpress上挖掘漏洞......0x04 Wordpress的过滤机制除了Wordpress特有的nonce机制以外，Wordpress还有一些和普通cms相同的的基础过滤机制。...', $class ), '3.6.0' ); } return addslashes( $string ); } 这样在返回前，调用vsprintf的时候，post_status的值中的单引号就已经被转义过了...短代码是一个比较特殊的东西，这是Wordpress给出的一个特殊接口，当文章加入短代码时，后台可以通过处理短代码返回部分数据到文章中，就比如文章阅读数等...

1.7K8 0

WordPress主题开发，从入门到精通。

不仅在面向用户的管理屏幕上运行。它也在 admin-ajax.php 和 admin-post.php 上运行。...用于将主页面的脚本和样式排入队列。 6.edit_form_after_title 在WordPress撰写文章页面添加一段提示标语的功能。...esc_url() – 在输出 URL 时，使用此函数，包括在src和href属性中的 URL。 esc_js() – 对内联 JavaScript 使用此函数。...php //访问分类或者标签时返回分类和标签的wp_term对象 $term = get_queried_object(); WP_Rewrite对象 WP_Rewrite是 WordPress 的类...，没有这个action了，任务还会继续，所有在插件关闭时需要同步取消任务，同理表单的开关也需要同步任务的开启和关闭。

10.5K4 0

如何编写和优化WordPress网站的Robots.txt

相反，我们使用 noindex元标记，这也有助于谷歌和其他搜索引擎正确地在您的网站上为您的内容分发其入站链接值。...事实上， /wp-content/plugins/ 和 /wp-includes/ 目录包含您的主题和插件可能用于正确显示您的网站的图像，JavaScript或CSS文件。...阻止这些目录意味着插件和WordPress的所有脚本，样式和图像被阻止，这使得Google和其他搜索引擎的抓取工具难以分析和理解您的网站内容。...简而言之，禁止你的WordPress资源，上传和插件目录，许多人声称可以增强你的网站的安全性，防止任何目标易受攻击的插件被利用，但实际上可能弊大于利，特别是在SEO方面。...的readme.html，licence.txt和wp-config-sample.php文件访问，以便未经授权的人员无法检查并查看您正在使用的WordPress版本。

1.5K2 0

WordPress 网站开发“微信小程序”实战(五)

改进基于以上总总，开发“DeveWork极客”小程序2.0 版本时，Jeff 对整个小程序后端做了如下的架构变化： 1）原来的WordPress 端除了现有的优化，基本不做其它处理。...其它除了后端的变化，在客户端（小程序端）还做了如下的优化工作： 1）预加载与本地localStore 缓存。...（pixelRatio =2）则是400x400 大小就好，再小则不清晰，再大则浪费。...返回功能，配合实战(四)提到的文章内链功能做了如下区分：当是通过文章内链进来的文章，icon 是HOME 且点击返回首页。其它情况则是返回上一层页面。写评论跟评论数的入口，后文会有介绍。...在这里献上PHP 的核心代码： // https://devework.com/wordpress-weapp-5.html // 在rest api 上输出相关文章 function raa_get_related_posts_by_id

1.9K6 0

CVE-2021-24285 WordPress Sql注入

披露时间 2021年4月19日：确定并向WPScan公开了问题 2021年4月19日：插件已关闭 2021年4月22日：分配了CVE 2021年4月26日：公开披露技术细节经过身份验证和未经身份验证的用户都可以使用...request_list_request AJAX调用，无法order_id在SQL语句中使用POST参数之前对其进行卫生检查，验证或转义，这会导致SQL注入问题。...漏洞代码：carseller_request_list.php＃L248 248: $result = $wpdb->get_results("SELECT * FROM $tablename CVE...-2021-24285 WordPress Sql注入 WHERE id=" ....$_POST['order_id']); Poc： curl 'http:///wp-admin/admin-ajax.php' \ --data-raw 'action=request_list_request

9383 0

WordPress未经身份验证的远程代码执行CVE-2024-25600漏洞分析

受影响插件：Bricks Builder漏洞存在版本：render_element_permissions_check() 中检查权限）表示此检查是否在 WP 的 REST API 的权限回调中执行。...三、EXPgithub上一位师傅提供的，也是我在本地复现时使用的，交互shellimport reimport warningsimport argparseimport requestsfrom rich.console

5661 0

Python爬虫番外篇之关于登录

当我们输入用户名和密码之后点击提交，我们可以从包里找到如上图的地址，就是post请求提交form的信息请求的地址：https://github.com/session 请求的参数有： "commit"...: "Sign in", "utf8":"✓", "authenticity_token":“KM6Q0mM9FtI95wYsI/WU3BnaMbYrmV60c0YTQlZjBuAuYa193LP2Gd8BTCmQBSFvPFZRlk3...https://github.com/session :param token: csrftoken :param cookie: 第一次登录时候的cookie :return: 返回第一次和第二次合并后的.../bookmark/ 这个地址是只有登录之后才能访问的页面，否则会直接返回登录页面这里说一下：http://www.jobbole.com/wp-admin/admin-ajax.php是登录的请求地址这个可以在抓包里可以看到...import requests def login(): url = "http://www.jobbole.com/wp-admin/admin-ajax.php" data =

1K11 1

解决网站静态缓存后WP-PostViews插件不计数的问题

我以为是更新了 WP 导致 PostViews 插件不工作了，于是打开 WP-PostViews 源码看了下，发现有如下逻辑代码： if($should_count) { if(defined(...\n"; echo "jQuery.ajax({type:'GET',url:'".admin_url('admin-ajax.php')."',data:'postviews_id="....update_post_meta($id, 'views', ($post_views+1))) { add_post_meta($id, 'views', 1, true); } } }...[CDATA[ */ jQuery.ajax({ type:'GET', url:'https://zhangge.net/wp-admin/admin-ajax.php', data:'postviews_id...实际上，原因非常简单，文章在首次缓存的时候，WP-PostViews 其实是会工作一次的，使用的是非缓存环境下的 php 计数。

1.2K15 0

WordPress插件SQL漏洞复现

该SQL漏洞存在于wordpress的插件Ultimate Produce Catalogue 4.2.2版本，在Exploit Database可以搜到这个漏洞的信息： https://www.exploit-db.com...02 源码部署首先wordpress的安装，这个之前在我们公众号文章《WordPress _v4.6远程代码执行漏洞复现》已经有详细的搭建过程，有不明白的小伙伴可以查看历史发送记录，或者到漏斗社区论坛也可以看到...存在漏洞的地址如下： http://127.0.0.1/wordpress/wp-admin/admin-ajax.php?...action=get_upcp_subcategories [请求数据] CatID=0 UNION SELECT 1,2 引起这个漏洞的原因是CatID的参数没有做转义处理导致sql注入，如下图，可执行...获取管理员账号和密码的sql语句： ?

1.5K5 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭