WordPress除了信息头、插件和readme.html默认显示WordPress版本信息外,最危险的文件来自于wp-admin/install.php。install.php是首次安装WordPress的必要文件,因此其权限很高,传说黑客可通过其取得服务器控制权。至少install.php也在完整暴露WordPress版本信息。 (更多…)
标签: WordPress
-
WordPress隐藏版本号之——install.php
-
WordPress隐藏版本号之——readme.html
WordPress由于是开源软件,所以其各版本的漏洞是公开的。除了常用的页面和Feed信息头隐藏“generator”外,前面《插件也在暴露WordPress版本信息》也是一个容易忽略的地方。而最简单暴露的可能应该是WordPress安装导言——readme.html。 (更多…) -
防盗链环境下,CSS背景图片和Firefox的可能冲突
不少网站都对图片等静态内容开启防盗链,尤其是CDN加速后。然而,Firefox对CSS背景图片的处理同IE、Chrome是不同的。CSS背景图片对于Firefox的Referer是CSS本身,而IE和Chrome的Referer是图片本身地址。如果防盗链白名单没有加入CSS所在域名地址,则在Firefox中会加载失效。 (更多…) -
OpenShift获取WordPress访客、评论真实IP
使用OpenShift、BAE等云引擎,访客都不是直接访问网站,需要云引擎“中转”一次。因此会出现访客IP信息为云引擎内部IP的问题。同理,网站启用CDN,或者是访客使用代理访问,WordPress默认设置也不能取得真实IP。这个问题不是Bug,而是IP获取方式的选择不同。 (更多…) -
WordPress禁止oembed嵌入功能
-
WordPress禁止某一插件升级提示
WordPress后台比较慢,原因之一就是后台会自动联网WordPress服务器检测WordPress和插件的版本同步。禁止检测插件升级的方法网络上已经有了不少,这里只是记录禁止某一插件升级提示,不影响其他插件和系统,也不涉及更换主题function失效的问题。 (更多…) -
P3 (Plugin Performance Profiler),检测WordpPress插件和主题对网站加载的影响
通常情况下,我们可以通过Firefox或Chrome等浏览器的查看元素,或者是FireBug等工具查看网站各元素的加载时间。来自Godaddy的P3 – Plugin Performance Profiler则是一款专门检测WordPress插件和主题对网站加载时间影响程度的WordPress插件。 (更多…) -
WordPress 3.3新增TinyMCE控制文件class-wp-editor.php
不断更新的WordPress又迎来了WordPress 3.3,每次大版本号的更新都意味着源程序文件又有不少的改动。虽然绝大部分文件更新对终端显示都没有太多影响,但是喜欢折腾代码的童鞋还是有些麻烦。WordPress 3.3首先发现的两个重大不同就是新的class-wp-editor.php和Twentyeleven主题又有更新了。 (更多…) -
WordPress奇怪的oEmbed嵌入功能
最近发现注册表中多了大量类似“_oembed_xxxx”的“key”项,而“value”值却是“{{unknown}}”。删除也没“看见”任何影响,但是会自动重新为每个日志ID生成。一度迷惑是换用子域名图床的问题,现在才悟到原来是启用了WordPress的oEmbed嵌入功能。 (更多…) -
插件也在暴露WordPress版本信息
各种安全介绍都说明为了避免暴露WordPress版本信息而导致公开漏洞被利用,需要隐藏网站的WordPress版本信息。一般建议都是修改主题和functions.php代码实现。但是,这些方法只是隐藏了WordPress本身程序的版本信息,还有不少WordPress的插件也在“主动”暴露这些信息。 (更多…)
