wordpress腳本 wordpress教程

如何去除WordPress腳本和樣式表的版本號(hào)

WordPress中使用wp_enqueue_script()和wp_enqueue_style()引入js腳本和css樣式表時(shí)，會(huì)生成一個(gè)版本號(hào)，如果你不親自指定，版本號(hào)會(huì)是WordPress的版本號(hào)，比如3.4.2。版本號(hào)有好處，可以強(qiáng)制瀏覽器更新腳本，但有些SEO檢測(cè)工具會(huì)認(rèn)為帶有版本號(hào)是非靜態(tài)化的表現(xiàn)，那么這里有一個(gè)去除版本號(hào)的方法。

成都創(chuàng)新互聯(lián)公司主營(yíng)平南網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營(yíng)網(wǎng)站建設(shè)方案,app開發(fā)定制,平南h5小程序開發(fā)搭建,平南網(wǎng)站營(yíng)銷推廣歡迎平南等地區(qū)企業(yè)咨詢

在主題的functions.php中加入如下代碼，就可以去除版本號(hào)

function sb_remove_script_version( $src ){

$parts = explode( '?', $src );

return $parts[0];

}

add_filter( 'script_loader_src', 'sb_remove_script_version', 15, 1 );

add_filter( 'style_loader_src', 'sb_remove_script_version', 15, 1 );

要注意的是，只有通過(guò)WordPress的方式引入腳本才會(huì)產(chǎn)生版本號(hào)，如果自己硬編碼進(jìn)去，這段代碼是不起作用的，當(dāng)然，不推薦硬編碼js文件。

一點(diǎn)小提示，當(dāng)你需要用到W3 Total Cache插件時(shí)，最好用wp_enqueue_script()引入腳本，可以使用自動(dòng)Minify的功能直接將所有腳本合并成一個(gè)文件，并且不要將WordPress默認(rèn)的jquery替換成google的或者其它的外部jquery，否則當(dāng)開啟W3 Total Cache的自動(dòng)Minify功能時(shí)，可能導(dǎo)致腳本運(yùn)行錯(cuò)誤。

如何修復(fù)wordpress4.0跨站腳本執(zhí)行漏洞

WordPress是著名的開源CMS（內(nèi)容管理）系統(tǒng)。近日，在4.0版本以下的Wordpress被發(fā)現(xiàn)存在跨站腳本漏洞（XSS），新版本的Wordpress已經(jīng)修復(fù)了這些問(wèn)題。為了安全起見，建議站長(zhǎng)們盡早更新到WP新版本。 該漏洞是由芬蘭IT公司Klikki Oy的CEO Jouko Pynnonen發(fā)現(xiàn)的，只存在于Wordpress4.0以下的版本中。據(jù)調(diào)查得知全球有86%的Wordpress網(wǎng)站都感染了這一漏洞，也就意味著全球數(shù)百萬(wàn)的網(wǎng)站都存在著潛在的危險(xiǎn)。一些知名網(wǎng)站也使用了Wordpress軟件，如Time、UPS、NBC Sports、CNN、Techcrunch 和FreeBuf:） 漏洞概述 WordPress中存在一系列的跨站腳本漏洞，攻擊者利用跨站腳本偽造請(qǐng)求以欺騙用戶更改登錄密碼，或者盜取管理員權(quán)限。 如Jouko Pynnonen解釋道： 當(dāng)博客管理員查看評(píng)論時(shí)，評(píng)論中的漏洞代碼會(huì)自動(dòng)在其Web瀏覽器上運(yùn)行。然后惡意代碼會(huì)偷偷接管管理員賬戶，從而執(zhí)行管理員操作。 為了證明他們的觀點(diǎn)，研究人員創(chuàng)建了一個(gè)漏洞利用程序（exploits）。利用這個(gè)exploits，他們創(chuàng)建了一個(gè)新的WordPress管理員賬戶，改變了當(dāng)前管理員密碼，并在服務(wù)器上執(zhí)行了攻擊PHP代碼。 漏洞分析 問(wèn)題出在wordpress的留言處，通常情況下留言是允許一些html標(biāo)簽的，比如、、等等，然而標(biāo)簽中有一些屬性是在白名單里的，比如標(biāo)簽允許href屬性，但是onmouseover屬性是不允許的。 但是在一個(gè)字符串格式化函數(shù)wptexturize()上出現(xiàn)了問(wèn)題，這個(gè)函數(shù)會(huì)在每一個(gè)留言上執(zhí)行，函數(shù)的功能是把當(dāng)前的字符轉(zhuǎn)義成html實(shí)體，比如把“”轉(zhuǎn)義為“”。為了防止干擾html格式，wptexturize()首先會(huì)以html標(biāo)簽為標(biāo)準(zhǔn)把文本分成若干段，除了html標(biāo)簽，還有方括號(hào)標(biāo)簽比如[code]。分割的功能是由下列正則表達(dá)式完成的。 在wp-includes/formatting.php代碼的第156行： $textarr = preg_split(‘/(.*|\[.*\])/Us’, $text, -1, PREG_SPLIT_DELIM_CAPTURE); 但是如果文章中混合著尖括號(hào)和方括號(hào)[]會(huì)造成轉(zhuǎn)義混淆，導(dǎo)致部分代碼沒(méi)有轉(zhuǎn)義。 攻擊者可以通過(guò)這個(gè)漏洞在允許的HTML標(biāo)簽中注入樣式參數(shù)形成XSS攻擊，比如通過(guò)建立一個(gè)透明的標(biāo)簽覆蓋窗口，捕捉onmouseover事件。 漏洞利用測(cè)試 以下代碼可以用于測(cè)試 [[” NOT VULNERABLE] 修復(fù)建議 這一漏洞很容易被攻擊者利用，WordPress官方建議用戶盡快更新補(bǔ)丁，而在新版WordPress 4.0.1已經(jīng)修復(fù)了所有的漏洞。 WordPress官方于11月20日發(fā)布了官方補(bǔ)丁，目前大多數(shù)的WordPress網(wǎng)站上都會(huì)收到補(bǔ)丁更新提醒通知；如果有一些其他原因使得你無(wú)法更新補(bǔ)丁，Klikki Oy公司還提供了另外一個(gè)解決方案（workaround）可以修復(fù)該漏洞。 wptexturize可以通過(guò)在wp-includes/formatting.php開頭增加一個(gè)返回參數(shù)避免這個(gè)問(wèn)題： function wptexturize($text) { return $text; // ADD THIS LINE global $wp_cockneyreplace; 額外提醒 如果你使用的是WP-Statistics WordPress插件，你也應(yīng)該更新補(bǔ)丁。因?yàn)檫@些插件上也存在跨站腳本漏洞，攻擊者同樣可以實(shí)施攻擊。

如何在WordPress文章內(nèi)插入簡(jiǎn)單腳本

在WordPress寫文章的時(shí)候，如果想插入一點(diǎn)簡(jiǎn)單的腳本，例如： javascript:tucao() 或者 onclick=”tucao()” 插入這樣的代碼，但是會(huì)被WordPress的安全機(jī)制自動(dòng)過(guò)濾成： javascript:void(0) 和 onclick=”" 那如何解決以上問(wèn)題呢？以下是解決方法：1.打開wp-include目錄下的formatting.php文件，注釋掉大概第2321行 $safe_text =str_replace(“n”,‘n’,addslashes( $safe_text ));2.上傳后，刷新后臺(tái)，保存剛才保存不上的文章。

新聞標(biāo)題：wordpress腳本 wordpress教程
本文來(lái)源：http://muchs.cn/article4/doheoie.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供Google、小程序開發(fā)、網(wǎng)站維護(hù)、品牌網(wǎng)站建設(shè)、外貿(mào)建站、電子商務(wù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)