本周,我们带来的分享如下:一篇关于Jetpack WordPress插件存在API漏洞的文章一篇关于如何应对不断增长的API安全漏洞的文章一篇关于API安全性是当务之急的文章工具:使用Burp Suite...查找GraphQL漏洞Jetpack WordPress插件API漏洞影响数百万个网站流行的WordPress插件Jetpack强制对所有安装进行更新,以解决插件中的一个关键API漏洞。...该插件在WordPress用户中非常受欢迎,全球下载量超过500万次。自2012年首次发布2.0版以来,所有版本都存在这个漏洞。...小阑总结:这个漏洞对于受影响的WordPress站点来说是非常危险的,因为它可能允许攻击者利用API漏洞,从而访问站点上的文件系统。如果攻击成功,攻击者可以读取、修改或删除站点上的数据。...为了预防这个漏洞,所有使用Jetpack插件的WordPress站点都应该尽快更新到最新版本Jetpack 12.1.1。
如果您不使用它,请简单有效地禁用WordPress REST API。 WordPress预先打包了一个强大的REST API,非常适合某些用例,但它也带来了一些安全风险和担忧。...如果你不想使用REST API,最好禁用它。有一个插件可以为你做这个名为Disable REST API,但它非常臃肿。...如果您只想禁用内置WordPress REST API以及位于其下的所有相关请求/wp-json,则可以在当前主题的functions.php文件中添加下面的代码即可禁用: * Disable JSON...API * * We don't need it, so let's remove it. */ function kl_kill_wp_json_api() { request_uri...WordPress网站的缓慢,难以维护。
WordPress 4.4 推出 REST API,这个是非常棒功能,通过 REST API 生成的 JSON 接口,可以很轻松的获取网站的数据,可应用于其他网站、手机 APP 或小程序等。...不过 WPJAM Basic 在这之前就推出自己 JSON API 解决方案,或者你博客没有任何客户端,那么你可以屏蔽 WordPress REST API 功能。...在 WordPress 4.7 版本之前可以通过在当前主题的 functions 文件中添加入下代码屏蔽 REST API: // 屏蔽 REST API add_filter('rest_enabled...rest_output_link_wp_head', 10 ); remove_action('template_redirect', 'rest_output_link_header', 11 ); 但是 WordPress...4.7 开始,REST API不再能被完全禁用,不过可以用 rest_authentication_errors 过滤器来限制对 REST API 的访问。
WordPress 自4.7 版本后与时俱进推出了REST API,如此一来想象空间又扩展了许多,如今WordPress 可以完全作为后端数据驱动了。...本文通过几个例子展示如何定制化输出WordPress REST API 的相关数据。...秉承“如无必要,勿增实体”的原则,减少请求时候的数据量,可以通过下面的代码移除: // https://devework.com/wordpress-rest-api-dynamic-output.html...中仅仅想输出 post meta 特定字段而非全部,则通过类似下面代码: // https://devework.com/wordpress-rest-api-dynamic-output.html...$args; } 如果你熟悉Nginx 语法,就知道上面的代码实现了:除了iOS 跟Android 设备(通过判断请求头的UA 信息),其它访问 /wp-json 的路径均返回403 状态码。
wordpress实现分页需借助 WP_Query对象 示例如下 <?
漏洞简介 在REST API自动包含在Wordpress4.7以上的版本,WordPress REST API提供了一组易于使用的HTTP端点,可以使用户以简单的JSON格式访问网站的数据,包括用户,帖子...上周,一个由REST API引起的影响WorePress4.7.0和4.7.1版本的漏洞被披露,该漏洞可以导致WordPress所有文章内容可以未经验证被查看,修改,删除,甚至创建新的文章,危害巨大。...WP REST API 首先来说一下REST API。...控制器 WP-API中采用了控制器概念,为表示自愿端点的类提供了标准模式,所有资源端点都扩展WP_REST_Controller来保证其实现通用方法。...静态追踪 知道了WP-API的路由信息以及其操作方式,可以根据其运行的思路来看一下具体实现的代码。
背景 才发现好像没做博客必须的一个功能——归档,赶快补上吧 查询了 WordPress REST API 文档之后,发现每次请求的文章总数( 也就是 per_page 参数 )不可以超过 100,但是归档页面理应展示全部文章...,于是需要在 function.php 增加以下钩子和函数拓宽这个限制 https://github.com/WP-API/WP-API/issues/2914 add_filter( 'rest_post_collection_params...params['per_page']['maximum'] = $count_posts->publish; //增加限制到当前文章总数 } return $params; } 代码 WordPress...REST API 默认以 date (文章发布日期) 来排序文章输出,所以可以遍历全部文章,判断上下篇发布年份来按照年份归档文章 //获取文章列表 axios.get('https
WordPress JSON REST API (WP API) 简介 这个插件(WordPress JSON REST API (WP API))提供了一个易于使用的REST API,让我们可以通过...WP API为WP查询创建了一个简单而方便的接口,文章API,文章元数据API,用户API,版本API等等。WordPress能做的事情,WP API同样可以让你做到,并且更加方便。...WordPress JSON REST API (WP API)的使用 WP REST API插件的使用还是非常简单的,在Wordpress后台下载安装好WP REST API插件后,启用插件,注意...:要先开启Wordpress的固定链接才行。...更多可用查询参数请参考WordPress官方文档,下面是可以在API中使用的查询参数: m p posts w cat
全新开发的用于 wordpress微信小程序的插件 REST API TO MiniProgram 今天上线WordPress官方插件库。...微信授权登录相关 1.获取用户授权信息,包括OpenID和UnionID 2.模板消息发送通用实现。...:公用方法 3)ram-api.php:插件api主入口程序 4)api目录:api接口的路由控制类和功能实现。...5)filter目录:wordpress相关filter功能实现。...6)settings目录:wordpress 后台设置相关实现 7)wxpay目录:微信支付相关api(在微信源码基础改造) 8)js目录:存放js文件 9)images目录:存放图片文件 2.qrcode
有了前面两篇内容的铺垫,我们来聊聊 WordPress 作为 CMS / BaaS 服务使用时绕不开的问题,API 调用。这篇内容同样的,会尽量少贴代码,简单的讲清楚一件事,降低阅读负担。...写在前面首先,我们需要进行清晰的名词定义,这里指的 “API 调用”是能够通过外部程序访问的 WordPress API 可编程接口,而非 WordPress 暴露给内部生态系统中的主题、插件工具开发者使用的...WordPress 团队主要提供过两种 WordPress 公开 API 调用方案。2011 年末,官方推出了 WP-CLI,一个用于与 WordPress 网站交互和进行管理的命令行工具。...另外一种,则是 REST API,使用通用的 JSON 格式来与 WordPress 应用进行数据交互。...好啦,到这里为止,我们了解了如何使用 API 的方式来访问 WordPress,接下来,我们来开始进阶使用。保护你的 API 接口我们分别来针对两种方案来聊聊 API 使用保护的问题。
上两篇讲解了如河窗体化 WordPress 插件,今天我们来点高级点, 如何使用 WordPress API 进行编写插件。...首先,什么是 WordPress 的 API?...WordPress 提供两种类型的 API: Action(行为):行为是一些能够由 WordPress 核心事件触发的函数。...关于 WordPress API 更多介绍请参考官方文档:Plugin API。下面我们来讲解一个实际的例子:根据 Action API 调整性能之后沙发四代。...下一篇将会介绍另外一种更新沙发排名信息的方法,通过 WP-Cron 特性来实现定时更新。如果你有什么问题请给我留言。
写在前面 首先,我们需要进行清晰的名词定义,这里指的 “API 调用”是能够通过外部程序访问的 WordPress API 可编程接口,而非 WordPress 暴露给内部生态系统中的主题、插件工具开发者使用的...WordPress 团队主要提供过两种 WordPress 公开 API 调用方案。...WordPress REST API 另外一种,则是 REST API[6],使用通用的 JSON 格式来与 WordPress 应用进行数据交互。...好啦,到这里为止,我们了解了如何使用 API 的方式来访问 WordPress,接下来,我们来开始进阶使用。 保护你的 API 接口 我们分别来针对两种方案来聊聊 API 使用保护的问题。...://cn.wordpress.org/plugins/wp-rest-api-authentication/ [18] rest-api/using-the-rest-api/authentication
Typecho,WordPress 等程序高亮代码实现过程,首先引入高亮代码 js 提取代码中得关键词,标记标签;然后,利用高亮 css 更换这些标签得颜色;最重要得自然是,pre 标签重写,这样是为了告诉浏览器哪段代码要执行高亮...当然,本教程不仅仅支持 Typecho,wordrpess等程序也可以用本教程实现代码高亮。 pre 修改 footer.php 插入如下代码,对文章内得 pre 标签修改。
实现思路 文章页 name = 文章标题 image = 特色图(未设置特色图自动抓取文章第一张图片) meta = 文章描述 分类页 name = 分类名称 image = 自定义 meta = 分类描述
使用 WordPress Setting API 创建的页面,默认情况下只有管理员才能更新里面的选项,如果想让编辑也能更新,怎么操作呢?...WordPress 提供了option_page_capability_{$option_page}这个 filter,让你可以修改设置选项的权限,假设我们的$option_page为:weixin-robot...,而编辑的权限为:edit_posts,我们可以通过以下代码来实现: add_filter('option_page_capability_weixin-robot','weixin_robot_setting_capability
通过查询相关文档发现WordPress 4.4版本以后增加了一个REST API功能, 通过REST API可以很轻松的获取网站的数据,但是这个功能并不是每个网站都需要的,或者说有需要但并不希望它在head...里面输出,那么可以禁用REST API或者说移除head里面wp-json链接。...// 屏蔽 REST API add_filter('rest_enabled', '__return_false'); add_filter('rest_jsonp_enabled', '__return_false...rest_output_link_wp_head', 10 ); remove_action('template_redirect', 'rest_output_link_header', 11 ); 另外需要注意的是,屏蔽 REST API
近日,来自Sucuri的研究人员发现WordPress存在重大漏洞,漏洞在于WordpressREST API,成功利用该漏洞可删除页面或修改页面内容。...在4.7.0版本后,REST API插件的功能被集成到WordPress中,由此也引发了一些安全性问题。...近日,一个由REST API引起的影响WorePress4.7.0和4.7.1版本的漏洞被披露,该漏洞可以导致WordPress所有文章内容可以未经验证被查看,修改,删除,甚至创建新的文章,危害巨大。...复现环境: Apache 2.4 PHP 7.0 WordPress4.7.1 4.复现过程: (1) 安装WordPress并配置REST API ① 配置Apache+PHP+Mysql的运行环境,...参考来源: https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html https:/
实现原理 由于我们可以在后台使用wp query来输出文章列表,所以我们并不需要文章分页的入口,砍掉了分页入口也避免了搜索引擎抓取这些页面。...实现方法 你需要修改的地方一共有2处,一处是包裹你文章列表的容器,一处是根据的文章列表的样式跳转输出结构。
在 WordPress 上更新和处理 HTML 是非常不方便的,甚至有点不舒服,正则表达式难用并且可能导致各种错误,DOMDocument 又非常占用资源,并且在处理现代的 HTML 经常失败,而且很多虚拟主机无法使用...所以 WordPress 6.2 引进了 WP_HTML_Tag_Processor,一个给 WordPress 开发者调整 HTML 标签属性的工具,他是 WordPress 新的 HTML 处理 API...textarea> // 速度足够快 WP_HTML_Tag_Processor 运行速度经测试已足够快,可以在关键的代码中运行,它不会产生额外的内存开销,在 WordPress...当然它还有一些更高级的用法,在 WordPress 6.2 发布之后,可以直接阅读 class 中相关的文档来学习如何使用。...未来 WordPress HTML 相关的功能会给予这个 class 之上,使得可以查看所有标签,使用 CSS 选择器查找标签,并使用新标签修改 HTML 结构,删除标签和修改内部结构等。
但凡问题,总是有办法解决的,wordpress 3.1已经加入了对IIS的支持,可以在IIS下自动配置永久链接,相信不久以后也会更好地支持Nginx,在此之前,我们可以用以下方法来解决此问题。
云服务器
ICP备案
即时通信 IM
云直播
对象存储
