欢迎您访问我爱IT技术网,今天小编为你分享的电脑教程是建站经验系列之:【wordpress网站终极防黑手册,全方位保护网站安全(二)】,下面是详细的分享!
wordpress网站终极防黑手册,全方位保护网站安全(二)
接着上一篇文章《wordpress网站终极防黑手册,全方位保护网站安全(一)》继续谈谈wordpress系统的一些已知安全隐患。老鸟级别的wordpress站长一定知道不管在任何版本的wordpress程序上作者存档页面的固定链接都是不能修改的,而且一旦站长开启伪静态后,只要直接访问
abc.com/?author=$id
(PS:id为用户的数字id)
则wordpress会直接转跳到
abc.com/author/用户帐号/
这种形式的链接,这将直接暴露出网站用户的登录帐号,存在着一定的安全隐患。(PS:管理员的ID都是1-5这五个数字,直接一试管理员帐号就暴露了,然后密码字典你懂的。)
查看wordpress源文件发现作者存档页面链接是这样获取的:
function get_author_posts_url($author_id, $author_nicename='') {
global $wp_rewrite;
$auth_ID=(int) $author_id;
$link=$wp_rewrite->get_author_permastruct();
if ( empty($link) ) {
$file=home_url( '/' );
$link=$file . '?author=' . $auth_ID;
} else {
if ( ''==$author_nicename ) {
$user=get_userdata($author_id);
if ( !empty($user->user_nicename) )
$author_nicename=$user->user_nicename;
}
$link=str_replace('%author%', $author_nicename, $link);
$link=home_url( user_trailingslashit( $link ) );
}
$link=apply_filters('author_link', $link, $author_id,$author_nicename);
return $link;
}
那么只要重写下规则即可改变作者存档页面的链接,这里以作者ID为例:(将以下代码加入到functions.php文件)
add_filter( 'request', 'v7v3_author_link_request' );
function v7v3_author_link_request( $query_vars ) {
if ( array_key_exists( 'author_name', $query_vars ) ) {
global $wpdb;
$author_id=$query_vars['author_name'];
if ( $author_id ) {
$query_vars['author']=$author_id;
unset( $query_vars['author_name'] );
}
}
return $query_vars;
}
add_filter( 'author_link', 'v7v3_author_link', 10, 2 );
function v7v3_author_link( $link, $author_id) {
global $wp_rewrite;
$author_id=(int) $author_id;
$link=$wp_rewrite->get_author_permastruct();
if ( empty($link) ) {
$file=home_url( '/' );
$link=$file . '?author=' . $author_id;
} else {
$link=str_replace('%author%', $author_id, $link);
$link=home_url( user_trailingslashit( $link ) );
}
return $link;
}
再次访问
abc.com/?author=$id
则转跳到
abc.com/author/$id
这样一来就不会暴露网站用户以及管理员账号了。
以上所分享的是关于wordpress网站终极防黑手册,全方位保护网站安全(二),下面是编辑为你推荐的有价值的用户互动:
相关问题:wordpress做的网站总是被黑,表现为被迫向外群发垃...
答:你是用哪个空间商的?我用华域讯通(vosent)的空间也出现这个问题,今天被NB的客服和技术(自称领导)直接停站退款了,一点服务意识都没有。而且污蔑我群发几万条垃圾邮件,好像是我自己上传了木马似的。 >>详细
相关问题:我的一个小网站被黑了(wordpress),如何恢复?
答:所有密码修改,到处数据库,重新安装wp,重新导入,然后服务器漏洞补上,各种后台漏洞检查。权限检查 >>详细
相关问题:如何去掉或者取消WORDPRESS主题中HEADER和FOOTER中...
答:很多人在下载了自己中意的Wordpress主题,但页脚的链接去不能去除,今天在帮朋友装一个Wordpress博客的时候就遇到这事,在百度了好久没收到什么结果,没想到最后以一个不可思议的办法来解决这个事情,但我们并不建议去掉人家的版权链接,这里只... >>详细
- 评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)
-