WordPress 用的是 PHP 语言,禁止访客访问网站核心 PHP 文件能提高安全性。我们以 Nginx 的配置文件为例,来详细说明如何安全配置:禁用某些目录执行 PHP。...all; } # 禁止访问 /wp-content/ 目录的 php 格式文件 (包含子目录) location ~* ^/wp-content/.*....conf/ { deny all; } # 注意:上述/conf/后面的斜杠不能少,否则所有以conf开头的目录或文件都将禁止访问。...## 禁止访问任何目录下的.sql文件,禁止浏览器访问 location ~.*\.sql { deny all; } # 这样,任一目录的sql文件都不会被用户访问到了...; # 指定CDN页面 error_page 403 404.html; # 指定当前项目根目录下的404.html文件 }
但是,它被用作博客工具,随着我们接近今年第四季度,WordPress 仍然是使用最广泛的 CMS 系统,不仅在博客中。WordPress 是一个完全开源的程序,会定期更新。可以在此处找到存储库。...在你可以访问 WordPress 仪表板之前,你需要一些项目: WordPress 后端 URL:如果你在域的根/主文件夹中安装了 WordPress,则访问 WordPress 的 URL 将类似于:...(插入你的域名代替 example.com)。这意味着要访问 WordPress 仪表板,只需将/wp-admin 添加到安装 WordPress 的 URL 的末尾即可。...如果你已在域中名为“test”的文件夹中安装了 WordPress,你将导航到 example.com/test/wp-admin。...如何在网站上安装 WordPress? 如何在 WordPress 中创建登录页面? 如果大家发现文章中有什么错误的地方,欢迎在下方评论。
攻击者是怎样拿到你的Wordpress 【管理员用户名】的,以及如何保护自己的管理员账户不被获取,这篇文章就来谈谈!!!...4、设置访问权限 1)禁止访问/wp-json/wp/v2/users/,如果是宝塔的话,可以在网站配置或者伪静态中设置如下代码。...如图: wp-pass-4.png 5、如果你是宝塔而且安装了专业版防火墙,还可以这样设置 在禁止访问的url中添加以下规则: /wp-json/wp/v2/users /wp-includes...location ^~ /xmlrpc.php { return 403; } 是否禁用根据自己需要吧,如果出现升级错误,那么可以删除掉或者禁用掉代码即可。...2)其实有一些主题的管理员账号是显示在文章里面的,感觉这样真的是……,我们可以在wp后台设置一个昵称,这样文章会显示昵称在文章中。
日志文件是服务器提供的非常有价值的信息,几乎所有的服务器、服务和应用程序都提供某种类型的日志记录,用来记录服务或应用程序运行时发生的事件和操作。...,检查每一行明显是不切实际的,因此我们需要过滤掉一些可能无关的数据,包括图像和CSS、JS等资源文件。...其中,wp-admin 是WordPress的管理后台,wp-login 是WordPress的登录页面,POST表示使用POST方法将HTTP请求发送到服务器,一般来说主要是登录表单和数据提交。...在筛选之后的结果中,我们会注意到这样一个访问请求: 84.55.41.57 - - [17/Apr/2019:06:52:07 +0100] "GET /wordpress/wp-admin/ HTTP...修复SQL注入漏洞并清除webshell,从备份文件中恢复被篡改的文件,使网站恢复正常。
安装/更新信息#安装/更新信息 要下载WordPress 5.4.2,请从网站管理区的“仪表板”>“更新”菜单中自动更新,或者访问WordPress发行版档案。...支持萨姆·托马斯(jazzy 25)发现XSS问题,在该问题中,经过身份验证的低权限用户能够将JavaScript添加到块编辑器的帖子中 对Luigi的支持——发现了一个XSS问题,拥有上传权限的认证用户能够向媒体文件添加...社交图标 49932–2020年的小打字错误 感谢所有为WordPress 5.4.2做出贡献的人: Andrea Fercia,argentite,M Asif Rahman,Jb Audras,...开发者须知#开发者须知 修订的文件列表#修订的文件列表 wp-admin/about.php wp-admin/themes.php wp-admin/css/common.css WP-管理/...', true); 在主题functions.php文件中添加 add_filter( 'automatic_updater_disabled', '__return_true' );
wordpress后台登陆地址修改方法之登陆文章重命名 一、修改wordpress程序网站根目录下wp-login.php的文件名,修改为wa-admin.php(其它任意名称都可以),并将该文件wa-admin.php...wordpress后台登陆地址修改方法之主题函数代码法 不想通过以上复杂的修改手段达到登陆地址调整的话,我们可以直接将下面的代码复制到wordpress当前主题的 functions.php 文件中:...%{QUERY_STRING}& 与上面的那个密码相同 这个.htaccess实现了URL的重写,禁止访问wp-admin下的所有.php文件,访问/dawa 的话会直接替换成/wp-admin下的对应文件...也就是说访问/dawa与访问wp-admin的结果是一样的,但是访问wp-admin则行不通。 更名完成,但是会有一些问题需要修改部分文件。...因为wp-admin被禁止访问,而部分功能还直接调用wp-admin的.php文件。这导致上传功能将不能使用;自动保存,自定义字段都无法使用。
Xss to Rce 在wordpress的后台,有一个编辑插件的功能,通过这个功能,我们可以直接修改后台插件文件夹的任何内容。...但在这之前,我们首先要了解一下,wordpress关于csrf的防御机制,在wordpress中引入了_wpnonce作为判断请求来源的参数。...由于wordpress的特殊性,我们可以通过xss来请求安装插件来简化上面的攻击链,简化整个流程,当我们访问: http://wordpress.site/wp-admin/update.php?...在wordpress的插件yoast seo中,包含一个自带的功能可以修改整战根目录的.htaccess文件。...但反射性XSS总有一些缺点 1、指向性明显,链接必须要网站的超级管理员点击才有效,在实际使用中,你可能很难获知网站的超级管理员是谁。 2、必须点击链接,最低要求也必须要访问包含你恶意链接的页面。
上传:修复了wp_unique_filename() 在不区分大小写的文件系统,上传包含大写扩展名的文件时,文件名冲突的问题。...媒体:修复wp_unique_filename() 目标目录不可读时的PHP警告。 管理后台:修复.active 类按钮的所有配色方案中的颜色。...文章、文章类型:在 wp_insert_post()函数中,检查要设置future 或 publish 状态的文章日期时,使用适当的差异比较。...国内自动更新会由于各种问题导致更新失败: 429 Too Many Requests curl下载超时升级WordPress Warning: 发生了预料之外的错误。...y 检查站点 https://minminmsn.com/wp-admin/upgrade.php 无需升级 您的WordPress数据库已经是最新的了!
两天没登博客,今天突然无法进入管理员界面了,通常都是在网站后缀加上/wp-admin进去,今天竟然出现了进不去的情况,错误网址上面显示: oldpan.me/login__trashed?...遇到这种问题网上的方法有很多,按以下步骤一一来进行: 1、首先通过ssh登录你的博客服务器,看wwwroot根目录下wp-admin文件夹还在不在,一般来说都是在的,如果不在的话问题有点大; 2...、最大的可能(我就是这个原因)是插件的缘故,插件冲突导致页面无法正式访问,这种情况的话,首先也是到达wwwroot根目录下,cd进行wp-content目录,找到plugins目录,将其改名,利用mv...3、另一个常见的原始是该目录没有权限: 将wp-admin目录的权限改成755或者最好把所有的wwwroot下的所有目录和文件都改成755,利用chmod -R 755 wwwroot进行操作...4、可能是加速器导致的问题,将加速器如七牛云等关掉 5、修改nginx配置文件,也就是修改重定向,进行伪静态访问: /usr/local/nginx/conf/wordpress.conf 在上面的地址
/ Wordpress <= 4.9.6 任意文件删除漏洞 WordPress是如今使用最为广泛的一套内容管理系统。...$meta['thumb']来自与数据库,是图片的属性之一。代码未检查$meta['thumb']的内容,直接带入unlink函数,如果$meta['thumb']可控则可导致文件删除。...登录后台,添加媒体 访问 http://9c9b.vsplate.me/wp-admin/upload.php, 上传任意图片. Wordpress AFD 3....将 $meta[‘thumb’] 设置为我们要删除的文件 3.1 点击第二步中我们上传的图片, 并记住图片ID....Wordpress AFD 3.2 访问 http://9c9b.vsplate.me/wp-admin/post.php?post=4&action=edit.
可以删除网站上的任意文件,影响危害严重, 甚至是致命的一个漏洞,如果被攻击者利用,后果将不堪设想。...,下面我们来分析下该wordpress漏洞是如何产生的: 网站漏洞产生的文件存在于wp-includes/post.php中,如下图: ?...empty($meta['thumb']) ) {代码中,thumb变量值是可以调用来自于图片,或者 网站数据库的一个值,整体代码在写的时候并没有对thumb的值进行安全过滤与判断内容是否 含有恶意函数...我们下载wordpress最新版本到本地,并架设php+mysql服务器环境,通过实际的操作与漏洞 利用,发现'thumb'这个值,并没有检测是否含有恶意内容,直接写进了网站数据库里,导致可 以掺杂非法删除文件的语句...首先登陆wordpress后台,wp-admin,并打开上传media library功能,我们随便上传一个图片 到后台里去,然后记住我们上传后的图片ID值是多少。然后访问 ?
最近在把很多应用从Apache转入Nginx下,遇到最棘手的问题莫过于两个平台下rewrite规则的重新调整,下面就拿WordPress为例,和大家分享一下WordPress在多站点模式下,如何配置Nginx...中的rewrite规则。...我们在开启WordPress(版本:3.2.1)多站点模式的过程中,会提示我们将一段rewrite写入.htaccess文件中,如下: RewriteEngine On RewriteBase /...[L] 上面这些规则是应用于Apache的,到了Nginx下是行不通的,我们需要对规则进行一些调整。...下面是我调整后的Nginx下rewrite规则: location ~ /[_0-9a-zA-Z-]+/wp-admin/$ { rewrite ^/[_0-9a-zA-Z-]+/wp-admin
使用习惯了 LNMP 环境了,在部署 wordpress 的时候出现了一个问题,修改完了固定链接页面找不到了,直接 403 了。...因为是 Nginx 的服务器,连个 htaccess 文件也没有,网上找了大半圈,最后修改个 Nginx 的伪静态规则搞定,如下: 修改 nginx 配置文件就可以 server {...-f $request_filename){ rewrite (.*) /index.php; } rewrite /wp-admin$ $scheme:...//$host$uri/ permanent; ---- 标题:解决centos7系统搭建wordpress出现403问题 作者:cuijianzhe 地址:https://solo.cjzshilong.cn
漏洞分析 1.文件wp-includes/post.php中: function wp_delete_attachment( $post_id, $force_delete = false ) {...unlink( path_join($uploadpath['basedir'], $thumbfile) ); } } } meta['thumb']来自与数据库,是图片的属性之一...代码未检查meta['thumb']的内容,直接带入unlink函数,如果 2.文件/wp-admin/post.php中: switch($action) { case 'editattachment.../ image.png 漏洞利用 登录后台,添加媒体 访问 http://你的域名/wp-admin/upload.php, 上传任意图片. image.png 将 $meta['thumb'] 设置为我们要删除的文件...3.1 点击第二步中我们上传的图片, 并记住图片ID. image.png 3.2 访问 http://你的域名/wp-admin/post.php?
值:true WP_LOAD_IMPORTERS 当访问 WordPress 后台导入页面(工具 > 导入)的时候,将被定义。...值:true WP_NETWORK_ADMIN 如果是来自 /wp-admin/network/ 的请求,将被定义。...值:被卸载的插件文件名 WP_USER_ADMIN 如果是来自 /wp-admin/user/ 的请求,将被定义。...值:true ERRORLOGFILE 设置定义的数据库错误记录到 log 文件。 值:log 文件的绝对路径。 MULTISITE 设置是否启用多站点功能。...值:true|false|null (默认:true) WP_DEBUG_LOG 设置是否把错误 log 写到文件 /wp-content/debug.log 中。
wordpress文件夹中,这时候你要把worpress文件夹的所有内容都出来放到域名文件夹下面可以考虑使用ssh工具可视化的移动也可以使用linux命令移动 mv /文件夹名/* /新文件夹名 SSH...工具移动 选中wordpress文件夹中所有内容然后右键move to输入新的地址则可以 这样避免后边域名访问403的问题 建立数据 用浏览器打开你的公网IP,点击 phpMyAdmin,用之前记录的..._unicode_ci 安装Wordpress 在URL中输入http://你的域名或者IP地址/wp-admin/或者 http://19.99.67.78/wordpress/ http://www.erosrisse.com.../wp-admin/ 会提示无法创建 wp-config.php 文件,这时 全选 – 复制 在终端进入wordpress目录,这里以默认目录为例 cd /data/wwwroot/你的域名 然后用...)括号部分可以替换成你自己的文件夹名称 然后再回到浏览器中,进入下一步,设置wordpress 用户名 和 密码,请保存好啊!!!
然后在浏览器打开http://localhost/wp-admin/wp-admin/install.php.这个是安装页面,因为本身WordPress设计之初就已经考虑到很多站长或者普通用户用WordPress...extension=php_mysql.dll extension=php_mysqli.dll 同时要查看php.in文件中 extension_dir = "ext" 配置是正确,PHP5.2默认是...我检查我配置都正确的。mysql可以通过cmd连接进去。php代码也可以正常运行。但是wordpress始终是出现这个错误,我开始以为是wordpress3.5版本的问题,下载3.3,出现同样的问题。...后台登录我一直记得是:/wp-admin/index.php进入的,但是后台如果不输入index.php的话也是直接显示wp代码的目录结构。之前按照过wp没有出现过这种问题。...运行wordpress,前后台都可以正常访问。 问题3:无法在“固定链接设置”设置其他的链接格式。否则页面进会出现400错误,请求的资源无法找到。
但是配置后今天却出现后台部分插件加载不出来,某些按钮按了没有动态效果的情况,上网看了看,原来是CDN缓存没设置好的缘故。 只要禁止缓存/wp-admin文件夹和设置.php文件缓存时间为0即可。...原因是因为wordpress后台登陆方式有两种,第一是/wp-admin,解决办法是禁止缓存/wp-admin文件夹就可以了,可以参考下图设置,别的CDN有缓存黑名单的就加进去。...第二种是wp-login.php文件,这个更简单,设置.php文件缓存时间为0即可。你常用哪种方式登陆后台,就用哪种方法设置缓存时间。就可以了。 ? ? ? ?...这样就可以啦~ 版权所有:可定博客 © WNAG.COM.CN 本文标题:《开启CDN后WordPress后台登陆不上去或部分插件加载不出来》 本文链接:https://wnag.com.cn/1029
它具有的可扩展插件框架和主题系统允许网站所有者使用其简单但功能强大的发布工具。 注意本指南是为非root用户编写的。更高权限的命令需要带有前缀sudo。...如果您不熟悉sudo命令,请访问我们的“用户和组”指南。 应使用更高权限编辑所有配置文件。在运行文本编辑器之前要加sudo。 将本指南每个例子中的example.com替换为您站点的域名或IP。...注意如果您在访问域名时未显示WordPress,请尝试添加/wp-admin到URL的末尾。如果您之前在站点的主目录中创建了索引文件则有可能发生这种情况。...您现在已成功安装WordPress。 创建WordPress永久链接(可选) 永久链接是永久加链接。永久链接是为WordPress中的特定帖子或页面自动创建的URL,以便您或其他人可以访问它们。...此部分是可选的,但只有安装基本的PHP,您才能使用一些WordPress功能。 为了在Wordpress中修改照片或图像,您需要PHP-GD扩展。
领取专属 10元无门槛券
手把手带您无忧上云