本周,我们带来的分享如下:一篇关于Jetpack WordPress插件存在API漏洞的文章一篇关于如何应对不断增长的API安全漏洞的文章一篇关于API安全性是当务之急的文章工具:使用Burp Suite...查找GraphQL漏洞Jetpack WordPress插件API漏洞影响数百万个网站流行的WordPress插件Jetpack强制对所有安装进行更新,以解决插件中的一个关键API漏洞。...该插件在WordPress用户中非常受欢迎,全球下载量超过500万次。自2012年首次发布2.0版以来,所有版本都存在这个漏洞。...小阑总结:这个漏洞对于受影响的WordPress站点来说是非常危险的,因为它可能允许攻击者利用API漏洞,从而访问站点上的文件系统。如果攻击成功,攻击者可以读取、修改或删除站点上的数据。...为了预防这个漏洞,所有使用Jetpack插件的WordPress站点都应该尽快更新到最新版本Jetpack 12.1.1。
如果您不使用它,请简单有效地禁用WordPress REST API。 WordPress预先打包了一个强大的REST API,非常适合某些用例,但它也带来了一些安全风险和担忧。...如果你不想使用REST API,最好禁用它。有一个插件可以为你做这个名为Disable REST API,但它非常臃肿。...如果您只想禁用内置WordPress REST API以及位于其下的所有相关请求/wp-json,则可以在当前主题的functions.php文件中添加下面的代码即可禁用: * Disable JSON...API * * We don't need it, so let's remove it. */ function kl_kill_wp_json_api() { request_uri...WordPress网站的缓慢,难以维护。
WordPress 4.4 推出 REST API,这个是非常棒功能,通过 REST API 生成的 JSON 接口,可以很轻松的获取网站的数据,可应用于其他网站、手机 APP 或小程序等。...不过 WPJAM Basic 在这之前就推出自己 JSON API 解决方案,或者你博客没有任何客户端,那么你可以屏蔽 WordPress REST API 功能。...在 WordPress 4.7 版本之前可以通过在当前主题的 functions 文件中添加入下代码屏蔽 REST API: // 屏蔽 REST API add_filter('rest_enabled...rest_output_link_wp_head', 10 ); remove_action('template_redirect', 'rest_output_link_header', 11 ); 但是 WordPress...4.7 开始,REST API不再能被完全禁用,不过可以用 rest_authentication_errors 过滤器来限制对 REST API 的访问。
WordPress 自4.7 版本后与时俱进推出了REST API,如此一来想象空间又扩展了许多,如今WordPress 可以完全作为后端数据驱动了。...本文通过几个例子展示如何定制化输出WordPress REST API 的相关数据。...秉承“如无必要,勿增实体”的原则,减少请求时候的数据量,可以通过下面的代码移除: // https://devework.com/wordpress-rest-api-dynamic-output.html...中仅仅想输出 post meta 特定字段而非全部,则通过类似下面代码: // https://devework.com/wordpress-rest-api-dynamic-output.html...$args; } 如果你熟悉Nginx 语法,就知道上面的代码实现了:除了iOS 跟Android 设备(通过判断请求头的UA 信息),其它访问 /wp-json 的路径均返回403 状态码。
wordpress实现分页需借助 WP_Query对象 示例如下 <?
漏洞简介 在REST API自动包含在Wordpress4.7以上的版本,WordPress REST API提供了一组易于使用的HTTP端点,可以使用户以简单的JSON格式访问网站的数据,包括用户,帖子...上周,一个由REST API引起的影响WorePress4.7.0和4.7.1版本的漏洞被披露,该漏洞可以导致WordPress所有文章内容可以未经验证被查看,修改,删除,甚至创建新的文章,危害巨大。...WP REST API 首先来说一下REST API。...控制器 WP-API中采用了控制器概念,为表示自愿端点的类提供了标准模式,所有资源端点都扩展WP_REST_Controller来保证其实现通用方法。...静态追踪 知道了WP-API的路由信息以及其操作方式,可以根据其运行的思路来看一下具体实现的代码。
背景 才发现好像没做博客必须的一个功能——归档,赶快补上吧 查询了 WordPress REST API 文档之后,发现每次请求的文章总数( 也就是 per_page 参数 )不可以超过 100,但是归档页面理应展示全部文章...,于是需要在 function.php 增加以下钩子和函数拓宽这个限制 https://github.com/WP-API/WP-API/issues/2914 add_filter( 'rest_post_collection_params...params['per_page']['maximum'] = $count_posts->publish; //增加限制到当前文章总数 } return $params; } 代码 WordPress...REST API 默认以 date (文章发布日期) 来排序文章输出,所以可以遍历全部文章,判断上下篇发布年份来按照年份归档文章 //获取文章列表 axios.get('https
WordPress JSON REST API (WP API) 简介 这个插件(WordPress JSON REST API (WP API))提供了一个易于使用的REST API,让我们可以通过...WP API为WP查询创建了一个简单而方便的接口,文章API,文章元数据API,用户API,版本API等等。WordPress能做的事情,WP API同样可以让你做到,并且更加方便。...WordPress JSON REST API (WP API)的使用 WP REST API插件的使用还是非常简单的,在Wordpress后台下载安装好WP REST API插件后,启用插件,注意...:要先开启Wordpress的固定链接才行。...更多可用查询参数请参考WordPress官方文档,下面是可以在API中使用的查询参数: m p posts w cat
全新开发的用于 wordpress微信小程序的插件 REST API TO MiniProgram 今天上线WordPress官方插件库。...微信授权登录相关 1.获取用户授权信息,包括OpenID和UnionID 2.模板消息发送通用实现。...:公用方法 3)ram-api.php:插件api主入口程序 4)api目录:api接口的路由控制类和功能实现。...5)filter目录:wordpress相关filter功能实现。...6)settings目录:wordpress 后台设置相关实现 7)wxpay目录:微信支付相关api(在微信源码基础改造) 8)js目录:存放js文件 9)images目录:存放图片文件 2.qrcode
有了前面两篇内容的铺垫,我们来聊聊 WordPress 作为 CMS / BaaS 服务使用时绕不开的问题,API 调用。这篇内容同样的,会尽量少贴代码,简单的讲清楚一件事,降低阅读负担。...写在前面首先,我们需要进行清晰的名词定义,这里指的 “API 调用”是能够通过外部程序访问的 WordPress API 可编程接口,而非 WordPress 暴露给内部生态系统中的主题、插件工具开发者使用的...WordPress 团队主要提供过两种 WordPress 公开 API 调用方案。2011 年末,官方推出了 WP-CLI,一个用于与 WordPress 网站交互和进行管理的命令行工具。...另外一种,则是 REST API,使用通用的 JSON 格式来与 WordPress 应用进行数据交互。...好啦,到这里为止,我们了解了如何使用 API 的方式来访问 WordPress,接下来,我们来开始进阶使用。保护你的 API 接口我们分别来针对两种方案来聊聊 API 使用保护的问题。
写在前面 首先,我们需要进行清晰的名词定义,这里指的 “API 调用”是能够通过外部程序访问的 WordPress API 可编程接口,而非 WordPress 暴露给内部生态系统中的主题、插件工具开发者使用的...WordPress 团队主要提供过两种 WordPress 公开 API 调用方案。...WordPress REST API 另外一种,则是 REST API[6],使用通用的 JSON 格式来与 WordPress 应用进行数据交互。...好啦,到这里为止,我们了解了如何使用 API 的方式来访问 WordPress,接下来,我们来开始进阶使用。 保护你的 API 接口 我们分别来针对两种方案来聊聊 API 使用保护的问题。...://cn.wordpress.org/plugins/wp-rest-api-authentication/ [18] rest-api/using-the-rest-api/authentication
上两篇讲解了如河窗体化 WordPress 插件,今天我们来点高级点, 如何使用 WordPress API 进行编写插件。...首先,什么是 WordPress 的 API?...WordPress 提供两种类型的 API: Action(行为):行为是一些能够由 WordPress 核心事件触发的函数。...关于 WordPress API 更多介绍请参考官方文档:Plugin API。下面我们来讲解一个实际的例子:根据 Action API 调整性能之后沙发四代。...下一篇将会介绍另外一种更新沙发排名信息的方法,通过 WP-Cron 特性来实现定时更新。如果你有什么问题请给我留言。
Typecho,WordPress 等程序高亮代码实现过程,首先引入高亮代码 js 提取代码中得关键词,标记标签;然后,利用高亮 css 更换这些标签得颜色;最重要得自然是,pre 标签重写,这样是为了告诉浏览器哪段代码要执行高亮...当然,本教程不仅仅支持 Typecho,wordrpess等程序也可以用本教程实现代码高亮。 pre 修改 footer.php 插入如下代码,对文章内得 pre 标签修改。
实现思路 文章页 name = 文章标题 image = 特色图(未设置特色图自动抓取文章第一张图片) meta = 文章描述 分类页 name = 分类名称 image = 自定义 meta = 分类描述
使用 WordPress Setting API 创建的页面,默认情况下只有管理员才能更新里面的选项,如果想让编辑也能更新,怎么操作呢?...WordPress 提供了option_page_capability_{$option_page}这个 filter,让你可以修改设置选项的权限,假设我们的$option_page为:weixin-robot...,而编辑的权限为:edit_posts,我们可以通过以下代码来实现: add_filter('option_page_capability_weixin-robot','weixin_robot_setting_capability
通过查询相关文档发现WordPress 4.4版本以后增加了一个REST API功能, 通过REST API可以很轻松的获取网站的数据,但是这个功能并不是每个网站都需要的,或者说有需要但并不希望它在head...里面输出,那么可以禁用REST API或者说移除head里面wp-json链接。...// 屏蔽 REST API add_filter('rest_enabled', '__return_false'); add_filter('rest_jsonp_enabled', '__return_false...rest_output_link_wp_head', 10 ); remove_action('template_redirect', 'rest_output_link_header', 11 ); 另外需要注意的是,屏蔽 REST API
近日,来自Sucuri的研究人员发现WordPress存在重大漏洞,漏洞在于WordpressREST API,成功利用该漏洞可删除页面或修改页面内容。...在4.7.0版本后,REST API插件的功能被集成到WordPress中,由此也引发了一些安全性问题。...近日,一个由REST API引起的影响WorePress4.7.0和4.7.1版本的漏洞被披露,该漏洞可以导致WordPress所有文章内容可以未经验证被查看,修改,删除,甚至创建新的文章,危害巨大。...复现环境: Apache 2.4 PHP 7.0 WordPress4.7.1 4.复现过程: (1) 安装WordPress并配置REST API ① 配置Apache+PHP+Mysql的运行环境,...参考来源: https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html https:/
实现原理 由于我们可以在后台使用wp query来输出文章列表,所以我们并不需要文章分页的入口,砍掉了分页入口也避免了搜索引擎抓取这些页面。...实现方法 你需要修改的地方一共有2处,一处是包裹你文章列表的容器,一处是根据的文章列表的样式跳转输出结构。
在 WordPress 上更新和处理 HTML 是非常不方便的,甚至有点不舒服,正则表达式难用并且可能导致各种错误,DOMDocument 又非常占用资源,并且在处理现代的 HTML 经常失败,而且很多虚拟主机无法使用...所以 WordPress 6.2 引进了 WP_HTML_Tag_Processor,一个给 WordPress 开发者调整 HTML 标签属性的工具,他是 WordPress 新的 HTML 处理 API...textarea> // 速度足够快 WP_HTML_Tag_Processor 运行速度经测试已足够快,可以在关键的代码中运行,它不会产生额外的内存开销,在 WordPress...当然它还有一些更高级的用法,在 WordPress 6.2 发布之后,可以直接阅读 class 中相关的文档来学习如何使用。...未来 WordPress HTML 相关的功能会给予这个 class 之上,使得可以查看所有标签,使用 CSS 选择器查找标签,并使用新标签修改 HTML 结构,删除标签和修改内部结构等。
api路由解决出现post请求报错问题 默认走的是web.php路由,而web.php在laravel中是有csrf保护的,为了防止伪造跨站请求csrf,post请求必须带上token,具体操作见文档的
云服务器
ICP备案
云直播
实时音视频
即时通信 IM
