当用户未登录时，Wordpress AJAX返回0 - 腾讯云开发者社区

文章/答案/技术大牛

发布

WordPress 设置登录用户和未登录用户显示不同的菜单

如果让登录用户与未登录浏览者，显示不同的菜单，可以通过下面的代码实现：将下面代码添加到当前主题函数模板functions.php中： if( is_user_logged_in() ) { $args...$args; } add_filter( 'wp_nav_menu_args', 'wpc_wp_nav_menu_args' ); 之后分别新建logged-in和logged-out两个菜单，用于登录状态下和普通浏览者显示的菜单...logged-out'; } } return $args; } add_filter( 'wp_nav_menu_args', 'wpc_wp_nav_menu_args' ); 也可以利用上面的方法，让不同的用户角色显示不同的菜单内容...任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益，可联系我们进行处理。

4.4K2 0

WordPress Fontsy Plugin SQL注入漏洞深度剖析与防御指南

一、漏洞基础信息该漏洞由安全研究员Cy Dave发现并披露，官方漏洞编号为CVE-2022-4447，属于未授权多场景SQL注入漏洞，影响范围覆盖Fontsy插件0至1.8.6版本，且目前暂无官方修复补丁...AJAX接口触发披露时间：2022年12月20日左右，WPScan、Vulners等平台先后收录该漏洞信息二、漏洞涉及插件与场景Fontsy是一款用于WordPress网站的字体管理插件，可帮助用户快速添加...且未使用WordPress提供的安全查询机制，具体成因可分为两点：（一）输入验证缺失，参数直接拼接SQL语句Fontsy插件在处理上述AJAX接口的参数（id、font_id）时，未对参数的合法性进行任何校验...SQL注入查询网站数据库中的所有数据，包括WordPress管理员账号密码（哈希值）、用户个人信息（姓名、邮箱、手机号）、网站内容（文章、页面、评论）等，后续可通过破解密码哈希值，获取管理员登录权限。...强化输入验证与安全查询：对于开发者而言，在开发WordPress插件时，需严格遵循安全开发规范：所有用户可控参数必须进行sanitize和escape处理，强制验证参数数据类型；数据库查询必须使用$wpdb

1091 0

您找到你想要的搜索结果了吗？

是的

没有找到

【Wordpress】ajax 实现站内搜索

这样用户体验度更好。遇到问题：如何实现文章的模糊匹配？ wordpress 如何提供接口？页面如何实现异步请求接口数据，并完成页面的渲染？...所以，我们将会用到 wordpress 自带的 admin-ajax.php 文件。...Shell //wp_ajax_nopriv_ 效验用户为未登录是启用的方法 add_action( 'wp_ajax_nopriv_search', 'search' ); //wp_ajax_ 效验用户为已登录是启用的方法...add_action( 'wp_ajax_search', 'search' ); 1234 //wp_ajax_nopriv_ 效验用户为未登录是启用的方法add_action( 'wp_ajax_nopriv_search...', 'search' );//wp_ajax_ 效验用户为已登录是启用的方法add_action( 'wp_ajax_search', 'search' ); 具体接口：我们看到上面 search

1.9K1 0

WordPress5.0 远程代码执行分析

环境搭建我们直接从 WordPress 官网下载 5.0 版本代码，搭建成功后先不要登录，因为从 3.7.0 版本开始， WordPress 在用户登录时，会在后台对小版本的改变进行更新，这样不利于我们分析代码...我们可以看到在 wp-admin/post.php 文件中，当 $action=editpost 的时候，会调用 edit_post 方法。...在 WordPress 中，用户所上传的图片，会被保存至 wp-content/uploads/ 目录下。而程序获取图片时，有两种方法。...上图中的 post 数据： _ajax_nonce=29a195c152&postid=28&do=save&action=crop-image&cropDetails[x1]=0&cropDetails...]=1200&id=28 跟到具体的代码中，我们发现当 action=crop-image 时，程序会调用 wp_ajax_crop_image 方法对图片进行裁剪，具体代码如下： ?

1.6K3 0

使用 Nonce 防止 WordPress 网站受到 CSRF 攻击

利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户对被攻击的网站执行某项操作的目的。...一个典型的CSRF攻击有着如下的流程：受害者登录a.com，并保留了登录凭证（Cookie）。攻击者引诱受害者访问了b.com。...攻击最好的方法，WordPress Nonce 通过提供一个随机数，来实现在数据请求（比如，在后台保存插件选项，AJAX 请求，执行其他操作等等）的时候防止未授权的请求。...WordPress Nonce 函数 WordPress 还提供一些函数简化 nonce 在特殊场景下的使用。...); } }); 服务器处理代码： check_ajax_referer( "weixin_robot" ); WPJAM Basic 严格遵守 Nonce WPJAM Basic 插件以及 WordPress

1.9K1 0

EventON WordPress 插件未授权邮箱地址泄露检测工具

EventON WordPress 插件未授权邮箱地址泄露检测工具这是一个专为 WordPress 设计的专业安全检测工具，用于识别 EventON 插件中的严重安全漏洞。...该工具能自动检测目标站点是否存在 CVE-2024-0235 漏洞，该漏洞允许未经身份验证的攻击者通过特定的 AJAX 请求获取网站用户的邮箱地址。....py --url https://example.com或者使用短参数：python CVE-2024-0235.py -u https://example.com典型使用场景场景一：检测并确认漏洞当对一个运行旧版...漏洞利用与邮箱提取模块此模块模拟未经身份验证的请求，触发漏洞接口，并从返回的响应中解析出所有邮箱地址。...9._%+-]+@[a-zA-Z0-9.-]+\.

641 0

WPJAM Basic 5.9 详细更新说明

昨天 WordPress 5.9 发布，我第一时间就升级了测试站点到 WordPress 5.9，经过一天的观察，没有发现什么问题。因为 WordPress 5.9 的更新主要还是围绕块编辑器。...这是因为 WordPress 5.9 在查询用户的时候，不建议使用 who 参数了，5.9 建议使用新的和权限相关的 capability，capability__in 和 capability__not_in...新增登录界面去掉语言切换器功能 WordPress 5.9 在登录界面增加了一个语言切换起的功能，用户可以通过它快速切换登录界面的语言：如果你不是运行国际化博客的话，这个功能基本无用，我们可以屏蔽它...注意验证码是存储于 Memcached 中，如果系统未安装 Memcached，则无效。...增强 wpjam_send_json 函数数据处理能力，如果是 true，则返回 errcode 为 0 的结果，如果是 false，则返回 errcode 为 -1，errmsg 为系统数据错误。

8.9K3 0

WordPress 文章无法保存？试试这些实用修复技巧

试试这些实用修复技巧在使用 WordPress 撰写博客、更新内容时，你是否遇到过“点击发布/更新却毫无反应”、“提示更新失败，此响应不是合法的json响应”、“文章保存失败，请稍后再试”等情况？...二、插件冲突：功能强大≠没有副作用许多插件，尤其是安全类、SEO类、表单类插件，可能会通过钩子干扰 admin-ajax.php 的正常执行，导致返回非 JSON 内容。...处理函数未正确输出 JSON 数据，都会破坏后台通信流程。...五、核心文件损坏：WordPress 的“系统感冒”虽然少见，但 admin-ajax.php 或 class-wp-ajax-response.php 等核心文件若被病毒篡改或升级中断，也可能引发此问题...当你遇到 WordPress 发布或更新文章失败时，不要急着重装系统或更换主机。先冷静排查，再逐步排除 —— 大多数问题都只是“小感冒”，不是“大手术”。

4521 0

为 WordPress 添加前台 AJAX 注册登录功能

为 WordPress 添加前台 AJAX 注册登录功能 ---- 功能前台化已成为 WordPress 主题制作的一大趋势，抛却缓慢臃肿的后台不说，前台便捷操作能给用户带来良好体验。...登录与注册是网站的重要功能之一，这篇文章将讲述如何实现漂亮的 WordPress 前台登录注册功能，此外观移植自觉唯主题。...此功能的实现是由 AJAX 提交表格数据代替 PHP submit 提交至 WordPress 自带的 admin-ajax.php，再进行 WordPress 内部的 PHP 验证处理，基于功能简化要求...这个 wordpress 自带 ajax 处理接口，请直接下载即可。...strip_tags( $login->get_error_message() ) : 'ERROR: ' . esc_HTML__( '请输入正确用户名和密码以登录', 'tinection' );

2.1K1 1

漏洞预警：知名WordPress主题Pagelines和Platform存在高危漏洞

使用Pagelines和Platform主题的WordPress用户注意了，请尽快更新主题的版本。...提升权限后黑客可以做许多事，包括使用WordPress主题文件编辑器。...技术细节 1.Pagelines和Platform主题的权限提升漏洞：以上两种主题使用WordPress的ajax hook对某些设置进行了更改： ?...无论登录用户是什么权限，wp_ajax_钩子对用户来说都是可用的。订阅用户可以使用hook重写在WordPress选项库里的任何一项。...因此，当访客访问了/wp-admin/admin-post.php或者/wp-admin/admin-ajax.php时，就可以通过触发admin_init执行备份文件里的代码，从而轻松获得网站权限。

1.1K5 0

CVE-2022-21661：通过 WORDPRESS SQL 注入暴露数据库信息

当插件使用易受攻击的类时，就会出现该漏洞。一个这样的插件是Elementor Custom Skin 。.../ajax-pagination.php 当请求发送到wp-admin/admin-ajax.php并且操作参数是ecsload时，调用get_document_data方法。 ...is called } 图 2 - wordpress/wp-admin/admin-ajax.php admin-ajax.php页面检查请求是否由经过身份验证的用户发出。...如果请求来自未经身份验证的用户，admin-ajax.php将调用未经身份验证的 Ajax 操作。...图 5 - wordpress/wp-includes/class-wp-tax-query.php 请注意，get_sql()返回的sql变量附加到 SQL SELECT 语句并使用从该方法返回的字符串进行组装

5.3K1 0

WordPress插件大全

Bluetrait Event Viewer (BTEV) – 增强多用户博客安全性，监控用户登录、删除用户、无效用户名等内容。...当你用相关的插件设置用户只有在登录后才能访问你的网站时，你可以限制只有登录的用户能下载文件。 Semi-Secure Login – 提高wordpress的安全性，加密登录。...GT Post Approval – 在多用户博客中以管理员身份查看日志时添加“Approve”和“Reject”按钮。...Time Zone – 这个插件解决由夏令时带来的时间延时的烦恼。 Throttle – 监控博客带宽，当服务器负载较大时限制某些不重要内容的显示以提高性能。...Bluetrait Event Viewer (BTEV) – 可跟踪用户的登录、删除，无效用户名等情况，可增强安全性。

3K5 0

渗透测试之黑白无常“续”

艰难挺近后台经过上一个网站的铺垫，所以当打开目标网站后，第一时间感觉系统属于WordPress框架，然后尝试默认后台/wp-admin/能否访问。 ?...根据上图可以看到该方法使用WDWLibrary类的get方法接受的参数，并且如果不存在给默认值为0，查看一下该get方法是否有过滤参数。 ?...默认值为bwg，所以根据WordPress的规则这里拼出的URL应该就是： http://localhost/wordpress-5.2.3/wp-admin/admin-ajax.php?...所有的GET参数符号都会自带\，这里的删除反斜杠后，还是会留一个，所以该方法未利用成功。.../*/**/*/(10),1)))XOSi) 当ASCII码值一致的时候，程序将延长10秒返回。 ? 当ASCII码值不一致的时候，程序直接返回。 ?

2.4K1 0

wordpress资讯类主题NStory（纯净版宝塔版）

NStory wordpress主题 NStory 主题使用最新的 PHP+Vue.js 构建的一个全新的 WordPress 自媒体，新闻资讯类的主题。...框架支持用户打赏赞 VIP 会员赞支付宝和微信支付赞手机、邮箱和社交登录赞推荐用户等级赞图片裁剪与水印赞强大的积分系统赞暗黑模式，可手动或自动切换赞付费内容，下载和视频评论评分及表情...接口删除WordPress登录错误从工具栏中删除 WordPress LOGO 从工具栏中删除自定义禁用定时器禁用古腾堡编辑器禁用古腾堡小工具禁用文章 Embed 格式化日期格式化数字...自定义后台登录地址复制提示代码高亮其它功能新编辑文章可AJAX选择所属专题新编辑专题可AJAX选择相关文章自定义类型文章固定链接移除菜单中多余的标签全站添加 canonical 标签...角色可见等级可见积分可见金额可见镜像安装到云服务器后，通过浏览器访问入口页面： Bt-Panel: http://IP:8888 username: fft6c0rf password:

3.4K0 0

CVE-2024-25600：WordPress Bricks Builder RCE

0x01 简介 Bricks Builder 是一个 WordPress 页面构建插件，它的主要功能是让用户可以通过直观的界面和拖放操作来创建自定义的网页布局。...使用 Bricks Builder，用户可以轻松地设计和定制其网站的页面，而无需编写任何代码。...0x02 漏洞概述漏洞编号：CVE-2024-25600 WordPress配置安装的Brick Builder主题存在远程代码漏洞。...安装好后登录后台，上传主题并安装启用 0x05 漏洞利用指纹特征：body中包含/wp-content/themes/bricks/ 首先需要得到 nonce，直接访问网站即可然后就可以构造POC...PHP 代码并返回执行结果，通过构造的POC，输入的代码将在这里执行。

7821 0

在线cms识别|旁站|c段|信息泄露|工控|系统|物联网安全|cms漏洞扫描|端口扫描|待完善..

ajax_get_file.php任意文件读取", "通元建站系统用户名泄露漏洞", "metinfo5.0..."wordpress插件跳转", "wordpress 插件WooCommerce PHP代码注入", "wordpress...插件mailpress远程代码执行", "wordpress admin-ajax.php任意文件下载",..."wordpress rest api权限失效导致内容注入", "wordpress display-widgets插件后门漏洞",..."金宇恒内容管理系统通用型任意文件下载漏洞", "任我行crm任意文件下载", "易创思教育建站系统未授权访问可查看所有注册用户

9.3K14 14

SSM博客实战(9)-拦截器验证权限和登录与注销的实现

比如，判断用户是否登录(可以通过 session 判断)，如果没有登录，我们让它跳转到登录页面。...二、登录实现登录主要是验证该用户是否存在，密码是否正确。...我这里是扒了 wordpress 的登录页面，注意：这里的 form 表单里没有 action 属性，最终发送数据通过 ajax 。...使用同步，防止出现后台没有返回值，就执行了后面的js代码，进而出现 ajax 执行 error:function() 里的代码。...数据类型使用 json，当然也可以使用 text，只不过 text 只能返回普通的字符串。

6761 0

CVE-2024-10793 WordPress插件权限提升漏洞利用演示

攻击者可以通过诱使已登录的管理员访问特制的恶意页面，在目标WordPress站点上执行任意JavaScript代码，进而实现账户接管、创建特权账户、上传Web Shell等操作，完全控制目标站点。...启动攻击者服务器在包含项目代码的目录下，启动一个PHP服务器来托管攻击载荷：php -S 0:9091 -t ..../exploit发起攻击将恶意链接 http://attacker.com:9091/ 发送给已登录WordPress的管理员用户。一旦受害者访问该链接，攻击将自动执行。...使用说明攻击演示发起攻击：受害者（已登录WordPress的管理员）在浏览器中访问 http://attacker.com:9091/。...当受害者访问时，它会向存在漏洞的目标站点发送一个包含恶意标签的请求，从而触发XSS。<?php// ...

600 0

模仿淘宝web扫码登录

当未扫描时，服务端缓存失效后会返回给前端，告知该二维码已失效。...当用户在有效期内，扫描二维码时，会请求服务端接口。调用scan_request方法，将获取到的uuid，以及移动端自己的当前登录用户的loginName以及登录后的ticket传递给服务端进行记录。...校验后，会将信息放置缓存，等待用户发出确认登录请求。当用户点击确认登录时，会给服务端发送确认登录请求。...随后前端定时每两秒会请求的js会发送请求，确认用户登录的状态。...，会获取用户登录信息ticket，设置token，以及为用户创建session.根据用户session中的roleID，返回用户登录成功后应该跳转的页面。

1.8K2 0

扫码登录背后的思考

，（当PC端轮询查询server时，返回已扫描的前端页面显示已扫描）server端把绑定后的信息临时token 返回 Android端，用户点击确认登录时，将临时token 返回给server端，修改...PC客户端、服务server 、安卓用户之间的信息交互这个过程中 PC前端页面呈现二维码呈现 4种状态，未扫描、已扫描、已确认、过期。...未扫描：pc端等待 Android用户去扫码二维码，pc端通过轮询的方式去请求服务端查询此二维码的状态，通过 uid 查询存放在redis 或者数据库中的uid 对应的状态。...列举b站上的扫码登录未扫描时的状态 response 数据为 can t scan image2020-7-23 14_59_21.png 将 uuid 存放在了cooike中 image2020...长轮询：客户端向服务器发送Ajax请求，服务器接到请求后hold住连接，直到有新消息才返回响应信息并关闭连接，客户端处理完响应信息后再向服务器发送新的请求。

3K1 0

点击加载更多

WordPress 设置登录用户和未登录用户显示不同的菜单

WordPress Fontsy Plugin SQL注入漏洞深度剖析与防御指南

【Wordpress】ajax 实现站内搜索

WordPress5.0 远程代码执行分析

使用 Nonce 防止 WordPress 网站受到 CSRF 攻击

EventON WordPress 插件未授权邮箱地址泄露检测工具

WPJAM Basic 5.9 详细更新说明

WordPress 文章无法保存？试试这些实用修复技巧

为 WordPress 添加前台 AJAX 注册登录功能

漏洞预警：知名WordPress主题Pagelines和Platform存在高危漏洞

CVE-2022-21661：通过 WORDPRESS SQL 注入暴露数据库信息

WordPress插件大全

渗透测试之黑白无常“续”

wordpress资讯类主题NStory（纯净版宝塔版）

CVE-2024-25600：WordPress Bricks Builder RCE

在线cms识别|旁站|c段|信息泄露|工控|系统|物联网安全|cms漏洞扫描|端口扫描|待完善..

SSM博客实战(9)-拦截器验证权限和登录与注销的实现

CVE-2024-10793 WordPress插件权限提升漏洞利用演示

模仿淘宝web扫码登录

扫码登录背后的思考

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐