wordpress

wordpress评论自定义验证码

星期日, 九月 13th, 2020 | php, wordpress | 没有评论

人总是难以改变的动物,一直用wordpress习惯了,不想再折腾静态博客网站了,继续跟随升级到5.5.1版本.

现在wordpress的评论的机器人真是做的好智能,一些常用的评论插件也基本上已经被攻破.

为了防止垃圾评论的骚扰,发现自制的验证码能拒绝这些评论机器人.

看样还是个性化的参数没有多大价值去处理的原因,非技术问题.

如下自制验证码:

管理员帐号登录:

修改下面的几个文件即可:

1.修改主题文件:(评论)comments.php

在下面新增一行即可,验证码的名称(authcode) 随便起个即可

 
<div id="commentform">
<form action="<?php echo get_option('siteurl'); ?>/wp-comments-post.php" method="post" id="commentform">

新增的行:

<label for="authcode">验证码: (Lee)</label>
<input type="text" name="authcode" id="authcode" class="text" value="" placeholder="请输入Lee" size="10" tabindex="1" />

2.登录到机器上 修改 wp-comments-post.php 文件 添加下面的代码即可

 
if($_POST['authcode']!='Lee'){
echo "<script>alert('验证码错误')</script>";
echo "<script>window.history.go(-1)</script>";
exit;
}

小记:其实可以写成一个更好的,做个写个函数注入到其中更好.懒的写了.

Tags: ,

WordPress打赏插件之Admire基于改进自定义版

星期五, 十二月 20th, 2019 | wordpress | 没有评论

打赏的一个功能一个插件而已

赞赏「admire」

首先感谢:有赏「You Shang」的作者:https://www.rifuyiri.net/t/4667

本人启用的时候不知道是新版本的原因还是插件有冲突,无法正常使用,然后自己重新改进之.

赞赏「admire」使用步骤

0.本地下载地址 https://www.pomelolee.com/admire/admire-v-1.0.0.zip

1.后台启用 赞赏「admire」插件


2.赞赏「admire」插件设置下自己的二维码地址,启用,默认是关闭展示的

3.需要自己手动在需要的地方调用函数即可代码如下

  <?php admire_show(); ?>

赞赏「admire」是一款能为WordPress便捷加入微信、支付宝,支付宝红包打赏/赞赏功能的插件。

改进地方:

1.移除了依赖jquery的信息

2.取消了拦截内容展示,改为手动自定义展示的地方

== Description ==

赞赏「admire」是一款能为WordPress便捷加入微信、支付宝,支付宝红包打赏/赞赏功能的插件。

== Installation ==

1. Upload the plugin files to the `/wp-content/plugins/admire` directory, or install the plugin through the WordPress plugins screen directly.
2. Activate the plugin through the ‘Plugins’ screen in WordPress
3. Use the set screen to configure the plugin

== Screenshots ==

== Frequently Asked Questions ==

== Upgrade Notice ==

== Changelog ==

= 1.0.0 =

* only js no need jquery
* init
*<?php admire_show(); ?>

Tags: , , ,

移除WordPress头部的window._wpemojiSettings代码及dns-prefetch

星期四, 十二月 12th, 2019 | wordpress | 没有评论

升级到新版的wordpress的,看了下页面好多emojo的 js定义代码,对我也没有多大用,移除之.

头部还添加了dns-prefetch,从s.w.org预获取表情和头像,但s.w.org国内无法访问也是浪费.

在主题编辑 functions.php 文件中最后添加即可

//remove emoji
remove_action( 'admin_print_scripts', 'print_emoji_detection_script');
remove_action( 'admin_print_styles', 'print_emoji_styles');
remove_action( 'wp_head', 'print_emoji_detection_script', 7);
remove_action( 'wp_print_styles', 'print_emoji_styles');
remove_filter( 'the_content_feed', 'wp_staticize_emoji');
remove_filter( 'comment_text_rss', 'wp_staticize_emoji');
remove_filter( 'wp_mail', 'wp_staticize_emoji_for_email');
 
//remove dns-prefetch
remove_action( 'wp_head', 'wp_resource_hints', 2 );

刷新页面可以看到那一堆js消失了.

Tags: , ,

wordpress版本升级到5.2.3记录

星期日, 九月 8th, 2019 | wordpress | 没有评论

阿里云老是提醒wordpress系统安全问题之类,提醒的烦了就准备升级下,小计.

1.到服务器下载最新版 https://wordpress.org/download/

最新版地址:https://wordpress.org/latest.zip

2.覆盖后升级,发现需要php5.6+,自己的php版本还是5.5+系列

3.折腾,顺便把服务器的centos6.5的也更换到centos7.6,后来发现被坑了一天才完成整改升级计划

4.服务器更新系统很快,安装nginx-1.17.3,mysql5.7,导入数据,

遇到的问题:

4.1:mysql5.7 兼容0000-00-00 00:00:00的日期格式,

4.2:移除wp-seccode插件(不兼容php7.0)

4.3: mysql_connect 更换成 mysqli_connect 等新函数(自己部署的其他应用部分)

5.总算正常进入及展示了,话说新的后台写文章的界面还真是漂亮

后台写文章界面如下图:

Tags: , ,

wordpress的自动登录及授权QQ等登录的处理

星期四, 十月 12th, 2017 | wordpress | 没有评论

以前处理了qq的自动登录,wordpress升级到4.8.2的版本,同时使用https,不知道什么原因就无法使用了.

需要新增 do_action( ‘wp_login’); 即可,以前版本只需要设置cookie 和current.

处理代码如下:

1
2
3
4
 require_once("../../../wp-config.php");
 wp_set_auth_cookie($wpuid);
 wp_set_current_user($wpuid);
 do_action('wp_login');

Tags:

wordpress WP_Image_Editor_Imagick 指令注入漏洞之临时修复

星期四, 五月 19th, 2016 | php, wordpress | 2 Comments

imagick的漏洞最近闹的沸沸扬扬,我自己一直也没有特别关注,主要是我也没有对应的使用此功能做在线web图片的处理.

有用的情况下也是之前的一个内网项目做过图片的快速处理.

耐不住阿里云的安骑士的 友情提醒我的此漏洞,我惶恐的去查了下服务器的配置根本就没有发现 imagick 的扩展.

具体PHP支持开启 imagick 的扩展可以参照这篇文章 Centos 下编译PHP图片扩展库 ImageMagick、MagickWandForPHP、imagick

但是漏洞还是要修复的,要不老是 邮件 短信提醒的多可怕

提示如下:
漏洞名称:wordpress WP_Image_Editor_Imagick
指令注入漏洞补丁编号:4547205
补丁文件:../wp-includes/media.php
补丁来源:云盾自研
更新时间:2016-05-19 11:06:18
漏洞描述:该修复方案为临时修复方案,可能存在兼容性风险,为了防止WP_Image_Editor_Imagick扩展的指令注入风险,将wordpress的默认图片处理库优先顺序改为GD优先,用户可在/wp-includes/media.php的_wp_image_editor_choose()函数中看到被修改的部分

解决方法:
其实提示的临时修复方式也很简单,我自己没有购买付费服务就按照他的提示自己手工修复下,然后验证下,OK 显示已经修复

1
2
3
4
 $implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_GD', 'WP_Image_Editor_GD' ) );
 
 //注释掉下面一行,换成上面一行即可,其实就是关闭了Imagick的作为备选项的功能了 easy吧
 //$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );

Tags: , ,

Gravatar头像显示的简便方便之WordPress开发

星期一, 六月 29th, 2015 | wordpress | 没有评论

Gravatar的头像不显示,出现个xx感觉很不舒服,想法解决;
最简单的方式是使用https的方式去显示:

调用ssl 头像链接,后台编辑functions.php加入如下代码:

1
2
3
4
5
6
//调用ssl 头像链接
function get_ssl_avatar($avatar) {
   $avatar = preg_replace('/.*\/avatar\/(.*)\?s=([\d]+)&.*/','<img src="https://secure.gravatar.com/avatar/$1?s=$2&d=mm" class="avatar avatar-$2" height="$2" width="$2">',$avatar);
   return $avatar;
}
add_filter('get_avatar', 'get_ssl_avatar');

Tags: ,

wp升级小计

星期二, 四月 28th, 2015 | wordpress | 没有评论

风险提示wp4.0的版本有xss的匿名评论的漏洞,要赶快打补丁

就升级了,下载最先的版本,覆盖即可,登录后台点击升级搞定;

记得后台关闭 表情的功能,否则就等着一直load那些我们无法访问的表情图片吧

没有遇到诡异的事情,聊记一下

Tags: ,

WP-Syntax代码高亮插件的美化和难选中修复

星期三, 一月 14th, 2015 | html5, pagemaker, wordpress | 没有评论

上次发了一个服务器安装的配置脚本信息,由于脚本比较多,发现浏览的时候用鼠标很难选择一直不知道是什么原因;

期间尝试了去除ad广告部分和统计的js代码,可是问题依旧,无意间更换了wp-syntax的css文件竟然解决了此问题;

也不太想深究其中原因,只把美化后的css代码贴出:
这一段代码替换wp-syntax/css/wp-syntax.css里的内容即可
› Continue reading

Tags: ,

wordpress升级避免被扫描和替换googleapis加快访问

星期一, 九月 1st, 2014 | wordpress | 没有评论

最近看了下服务器的访问日志,发展正儿八经的访问博客网站的流量没有多少,一堆东欧过来的ip地址 不停的尝试 xmlrpc.php进行提交数据,破解网站等操作,
移除此文件或者禁止访问该文件没有多大用处,他们还是会继续执行.

后来在网上查了下,是3.5之前的wordpress有这个漏洞,果断升级成新版本到3.9.2,等到今天再查的时候已经停止对我网站的 扫描了.

另:发现由于不能访问googleapis.com网站造成后台的速度好慢,替换成国内的地址,就ok了

修改 wp-includes/script-loader.php 下搜索googleapis,替换成useso解决问题. 对360赞一个,提供了useso.com 镜像了常用的googleapis.com服务.

Tags: ,

Search

文章分类

Links

Meta