Category Archives: wordpress支持
让WordPress登录过程加密(使用HTTPS协议)
修改“wp-config.php”,添加两行定义就可以了(如下,可参考注释位置): define(‘FORCE_SSL_ADMIN’, true); define(‘FORCE_SSL_LOGIN’, true); /* That’s all, stop editing! Happy blogging. 这样就可以使用HTTPS协议登录WP后台了。 这两个参数一个是用来加密登录的一个是后台管理加密访问的(若使用http协议访问,会自动转换为https协议访问)。 关于这两个配置参数的详细说明可参考官方文档。 如果你的WP版本低于2.6,还想用加密地址登录,可考虑升级WP到最新版本即可。。 WordPress 2.6 and later has greatly improved support for administration over SSL out of the box. To easily enable (and enforce) administration over SSL, … Continue reading
推荐WordPress插件:wp-gfc FriendConnect plugin for WordPress
今天给一个新的WP站添加“Google Friend Connect”,由于GF*的作用,基本是点一下断一会,而且找不到下载 canvas.html 和 rpc_relay.html 的链接(我把这个blog里的这俩文件传上去,生成的代码貌似还不能用)! 看到“Plug-ins & APIs”下有WP的评论插件:wp-gfc 。 于是下载,解压,上传。。有几个文件怎么也传不上去(可能是空间商屏蔽了这几个名字,偶没有改名上传然后改回来。。)! 只好借助Putty通过SSH连接上去: [clin003@hostxx plugins]$ cd ~/wp-content/plugins [clin003@hostxx plugins]$ wget http://wp-gfc.googlecode.com/files/googlefriendconnect1.1.5.zip [clin003@hostxx plugins]$ unzip googlefriendconnect1.1.5.zip 然后进入WP控制面板,激活“googlefriendconnect”插件,setting,填入网站在google friend connect中的id(这个ID可以在“google friend connect”中设置网站的时候从网址链接中获取),勾选下功能即可使用了(目前能用的功能有:代替WP评论、顶部或底部状态栏、推荐按钮)。 使用google friend connect登录后,会自动在网站中创建一串数字为用户名的用户!可以(在WP控制面板)自行设置用户信息(不过这个跟是否使用google friend connect的评论功能有关,同一个登录用户ID是唯一的一串数字,无论是否曾经加入与退出)。 设置好默认用户权限o(默认为订阅用户级别)。 PS: 到后台Widgets里可以看到更多的 FriendConnect 插件呢!
今日杂碎:又改一套WP模板
是从安装包带的 “classic” 模板修改的。 真是赞叹“classic”的简洁,很容易就复制出一份自己的板子了(默认所有的页面都是用index.php的模板)。 比如 1、自定义添加一个404 页面,可以复制index.php为404.php。然后修改里面内容。 2、添加一个Page页面默认模板,可以复制index.php为page.php。然后修改。。 。。 另外单页面post的默认模板文件为 single.php;存档页面的模板文件名为 archive.php; 改的时候遇到一个很纠结的问题,就是ie里的height和min-height(貌似ie不认min-height),还有就是ie中的margin,顶起来的高度显示不出来!只好弄几个换行标签上去充当。。 PS:先前改得模板感觉也挺好的,只是在页脚都硬性插入了“公司信息”,也不方便拿出来分享了(先前的都是从知名的框架模板改来得)。
升级到 WordPress 2.8.6
从 WordPress 官方开发日志了解到,这次主要修复两个安全问题: 2.8.6 fixes two security problems that can be exploited by registered, logged in users who have posting privileges. 其中一个漏洞为“Press This”的XSS弱点攻击,另一个为在特定Apache配置环境下上传的文件名可能被利用,导致php代码在上传目录执行(翻译的不知道有没有问题,感觉怪怪的!)! 还是看下原文吧: The first problem is an XSS vulnerability in Press This discovered by Benjamin Flesch. The second … Continue reading
升级到 WordPress 2.8.5
关于WordPress 2.8.5,官方的升级介绍: * A fix for the Trackback Denial-of-Service attack that is currently being seen. * Removal of areas within the code where php code in variables was evaluated. * Switched the file upload functionality to be whitelisted for all … Continue reading
WordPress < 2.8.1 Security Bypass 0day
发布时间:2009-07-22 测试方法: 本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! Wordpress < 2.8.1 All Version suffer from admin module configuration security bypass exploit , attackers use these urls to attack the blog. http://xxx.com/wp-admin/admin.php?page=/collapsing-archives/options.txt http://xxx.com/wp-admin/admin.php?page=akismet/readme.txt http://xxx.com/wp-admin/admin.php?page=related-ways-to-take-action/options.php http://xxx.com/wp-admin/admin.php?page=wp-security-scan/securityscan.php It is harmful.Please update your blog as soon as you can. … Continue reading