老魏初步猜测是和权限相关。wordpress 的大部分问题都和权限不足都有或多或少的关系。这位同学很快联想到自己购买了宝塔面板的付费程序：网站防篡改程序，先停掉这个程序。再用宝塔面板自带的文件 >> 上传功能重新上传插件的压缩文件再解压缩，这次在 wordpress 后台就能够看到这个插件，并可以正常安装使用了。 网站防篡改程序默认保护整个网站文件夹的文件不会被第三方程序改动，而宝塔面板的增、删、改是没有问题的。所以如果用 ftp软件这种第三方软件上传的文件，在 wordpress 后台会看不到。也就起到了保护网站不被黑的作用。 后来老魏自行安装了宝塔面板的网站防篡改程序，打算进行问题复现。开启程序后用 winscp 上传任意插件到  /wp-content/plugins/ 文件夹后，在 wordpress 后台“已安装的插件”中果然看不到刚才上传的插件。立即去宝塔面板停掉网站防篡改程序，此时“已安装的插件”中还是找不到刚才上传的那个 wordpress 插件。看来宝塔面板这个网站防篡改程序确实好用。比如说你服务器被人黑掉，并且上传了恶意程序到 wordpress 的文件夹中，这时候在 wordpress 后台是看不到这个恶意程序的，也就避免了网站被进一步入侵的可能。 解决办法其实很简单，有两个办法可以解决类似问题。 1、第一个办法是像本文开头那样先停掉网站防篡改程序。再用宝塔面板自带的文件 >> 上传功能重新上传插件文件的压缩文件再解压缩，就可以在 wordpress 后台正常安装使用了。 老魏测试如果这时候第二步仍旧使用 ftp软件上传，结果还是看不到已经上次的插件。不管宝塔面板文件上传功能还是 ftp软件上传的文件夹都是755 权限，估计宝塔面板对于 ftp软件这类第三方客户端上传的文件及文件夹做了手脚，老魏不是程序员，只能猜测到这。 其实宝塔面板已经增加了文件上传和 ssh 功能，请移步宝塔面板自带 SSH 终端和 上传解压文件功能 可替代 SSH 客户端和 SFTP 软件使用，完全可以替代第三方客户端。 2、如果不想每次都去停掉网站防篡改程序，第二个办法是在网站防篡改程序中点击“排除”，在空格中添加文件夹名字plugins，或者文件夹的绝对路径，比如 /www/wwwroot/vpsss.net/wp-content/plugins/，效果都是相同的。这样就可以在防篡改控制时避开这些文件夹，不进行保护。 经过这次问题解决的过程，老魏对于网站防篡改程序有了新的认识，而这个付费程序也确实很好用，说明钱没白花。 所以说如果你苦于不知道如何保护网站安全，完全可以考虑使用宝塔面板专业版中的付费程序来实现目的，少花一点钱也能很好的保护自己的网站在安全的状态下正常运行。 本文来源于：宝塔面板中用 ftp软件上传插件 wordpress后台不显示的解决过程-变化吧门户 特别声明：以上文章内容仅代表作者本人观点，不代表变化吧门户观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。

每一个WordPress网站，都可以通过使用插件来获得更多的功能。但是太多的插件，会拖慢站点的运行速度，并且让站点看上去臃肿不堪。 一些插件的功能让你舍不得卸载，但是其实你可以使用简单的PHP代码来替代这些插件。那么问题来了，如何确定哪些插件需要保留，哪些插件需要被替代？ 还好有一个网站可以为你提供帮助： You Might Not Need That WordPress Plugin。这个网站的名字很长，但是其实很好用。 在主页上，你会看到很多WordPress功能，并且提供了相应的代码段，你可以用它们来替代插件。你可以通过关键词来检索这些代码段。在找到你想要的代码段之后，你可以轻松的将其复制下来。 目前这个网站已经提供了很多的代码段，让你去替代一些WordPress插件，例如个性化post类别、个性化短代码、301重定向，以及在header中加入个性化JS/CSS文件等。 这里所有的代码段都有一个“一键复制按钮”，点击这个按钮可以将代码段复制到你的粘贴板上。每一个代码段还配备了一个简短的描述，还有一个指向WordPress codex的连接，打开这个连接你可以看到详细的功能说明。 这个网站还在不断添加新的代码段，并且欢迎所有人的参与。 本文来源于：【头条】如何使用优化代码段替代WordPress插件-变化吧门户 特别声明：以上文章内容仅代表作者本人观点，不代表变化吧门户观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。

Google 已经发布了一个新的出版商使用的WordPress插件。谷歌官方的出版商插件提供了对于谷歌AdSense和谷歌网站管理员工具的支持,以后可能添加更多服务。 这是一个beta版本,所以作为早期尝试，你同时也是一个测试实例。谷歌在发布通告中表示：“我们仍然在调整插件以确保它在许多WordPress网站中运行良好，我们十分欢迎你现在就体验并反馈插件在你的网站中的运行情况。” 通过允许出版商在AdSense账户中连接WordPress站点，本插件使网站更容易启动和运行广告而无需手动修改HTML。 正如你可以看到以下谷歌的截图,一旦安装插件,您只需要点击其中一个加号就可以向页面添加一个广告单元。 在点击广告元件后，你可以更改设置并在内容旁边可以看到预览广告示例。 如果你没有这样做，网站管理员工具只支持“一次点击”来验证你的网站。 注意此时插件暂时对托管于WordPress.com的站点不适用。 截止目前，这个插件在过去一周里已经被下载了接近3000次，并且收到了4.3/5星级的评分。 你可以在这里下载。 本文来源于：谷歌推出适合Adsense和网站管理员工具的WordPress插件-变化吧门户 特别声明：以上文章内容仅代表作者本人观点，不代表变化吧门户观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。

 玩过 WordPress的小伙伴肯定都有疯狂用插件的习惯吧，哈哈哈！不要害羞，我就知道你用了。今天呢就来说说插件这个磨人的妖精，主要讲讲它的缺点见解。作为一个快乐的 WordPress 外行肥宅，我反正是绝对喜欢在我的网站和门户上寻找和使用很多的插件。因为使用这些插件的好处是显而易见的！特别是新手，不懂代码的，是绝对的友好，这个没话说的。他们的使用让我们能够丰富我们的网站的功能和风格，快速和容易上手，通常不需要知道任何特殊的代码或知识。大多数 WordPress 用户，甚至设计师，都会很快安装插件，但是我们也要考虑下它的后果和缺点。 实际使用中 WordPress 插件的弊端 首先，和小伙伴们分享下我的两个辛酸搬砖史。 故事1：我记得我当时刚玩wp，2014年的那个夜黑风高的夜晚......我当时是想把网站的一些信息做成一个小集合的，但是呢，自己又cai不会代码，所以只能找一个插件，找了很久没找到满意的，之后呢，找到了国外一个wordpress插件的女装大佬，呸.....是大佬，他开发了一个很不错的插件很好的满足了我的需求。我当时用了大概3个月，突然发现很多bug，就去找了原因，后来才发现那个大佬自己太忙了，不玩了，不更新插件了，导致有些bug。所以呢，网站的信息呈现就很乱，我也没办法就放弃了。 故事2：由于自己平时工作的关系，没太多时间弄网站，前不久刚把服务器搬完。换了服务器那问题是真的多，把我仅存的耐心都磨完了。为什么说插件弊端大呢？就体现在这了...比如说兼容问题，其实很多大老开发插件的时候是不能完全做到兼容性的，有时候你心情不好，想换一个wordpress主题，那么更换之后，发现很多插件用不了了，网站都打不开了，是不是很坑呢？最可怕的是你还很喜欢这个插件，喜欢的不行，用习惯了舍不得...如果你真想继续用，只能和开发商或者主题创建者进行协调，让他修复bug，我也联系过......但是结果你懂得！人家毕竟也忙，没办法照顾你的需求....其实都可以理解的。 这两个小插曲其实说明了什么呢—插件固然是很好，但是它是动态更新的，一旦作者停止更新优化，那么这些优秀的插件就变成了弃儿了。如果它是不那么影响网站数据的，其实还好，如果影响了数据的展现，那么越到最后，你的亏损就越大，出现的bug就越多，你就越需要去折腾！ 插件弊端主要体现在三个方面： 1、非常依赖插件开发者提供更新。当我们安装一个插件的时候，相当于我们把我们网站的一部分控制权交给了其他人。如果使用免费插件，这可能会特别麻烦，因为开发者不欠你任何东西，他完全可以不更新的。 2、一些插件代码写得不够完美，优化不够优秀的话，会大大降低你的网站速度！反正我的网站是的，确实有点拖慢速度.......... 如果安装一个免费插件，最好要确保它是一个有很多用户和好评的插件，多看下插件的使用体验。一般用户越多，开发者提供更新的机会就越大，毕竟人家开发可不是免费的，人家要赚钱啊。 3、小心那些页面生成类的插件，虽然这些插件可以做一些惊人效率的事情，但大多数是资源消耗型的，很占cpu，甚至他们会拖慢你的网站速度。此外，如果开发人员不再提供支持，你的网站可能留下很多问题，很多页面打不开的情况！ 再此建议在继续使用页面生成器之类的程序插件时，仔细考虑所有选项是不是安全的！ 分享下我个人很喜欢SEO类的几个插件，感谢这些作者的辛勤劳动： 1、Yoast SEO All in One SEO Pack Premium SEO Pack （三者取一即可，不然容易冲突） 2、WP SEO Meta 3、All In One Schema.org Rich Snippets 4、baidu-sitemap 5、aotu tag slug 敲黑板了，有些插件是非常简单的，一点都不好玩。正所谓淘宝旗舰店都有假货是不是，插件也不例外啊，插件也有好坏，你也需要去甄别，筛选！我见过一些只有一两行代码的插件（what？），构建自己的插件非常简单！ 实际上，构建一个插件在一个定制站点（比如我的门户）上使用要比构建一个用于生产服务的站点（比如电商）要容易得多，容错率也低得多。所以呢，插件的弊端其实真的蛮大的，插件的使用是需要根据你的需求以及网站特点来定，比如你的网站是搞业务的，那我建议就没乱来了，别用为好。 没有什么网上说‘不要使用插件，都是坑’的说法，插件在初期对于网站所有者来说，是真的很方便的，至于被坑了，只能说明你对插件对网站的影响认识不到位，哈哈，凡事要三思而后行嘛，对不对？总结就是，使用插件是总体上是对网站有益的，只是这些弊端网站站主要考虑好，在安装插件之前做足功课，尤其是那些使用 javascript 的插件，减少对网站的伤害才是最重要的，好了完结，撒花。 本文来源于：【wordpress 插件篇】插件对网站影响好不好-精辟说-变化吧门户 特别声明：以上文章内容仅代表作者本人观点，不代表变化吧门户观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。

需求 在 CMS 系统里，会有这样一类需求：点击按钮创建一篇XX分类的文章，比如「新建歌曲」、「新增产品」、「新增日记」、「新增分类1下的文章」等（假设歌曲、产品、日记、分类1是你的 CMS 系统里已经存在的分类或类型）。 如图：需求是打开编辑文章的界面后，分类1要自动勾选。 这个简单的需求，在目前版本的 Wordpress(4.2.2) 里并不能简单地实现。但可以通过 Hook 配合 jQuery 实现，不需要插件。 原理 可以将这个需求分解为两步： 按钮指向一个链接，此链接中包含分类参数（如分类的tag_ID，我们在示例中设为 catid） 后台加载新建文章页面后，获取 URL 中的 catid 参数，通过 JS 模拟点击以选择此分类 将以下代码加入到 Wordpress 主题的 function.php 中，这样，则可以通过形如 http://icewent.com/wp-admin/post-new.php?post_type=post&cate=72 的链接在编号为 72 的分类下创建一篇文章。 代码 function ws_preselect_post_category() { if ( isset($_GET

验证码这种东西真的是反人类。虽然它在保证账号安全、反作弊以及反广告有着至关重要的作用，但对于普通用户来说，输验证码很多时候实在是让人抓狂。 文摘菌18岁的时候帮朋友刷QQ空间留言就天天和验证码作斗争，前几天传一个视频又创下了连续7次输错验证码的记录。不过好在文摘菌最近发现，用机器学习破解简单验证码已经是妥妥的小事了。 今天，文摘菌就带来了一个15分钟黑掉世界上最受欢迎的验证码插件的小教程。欢迎开启新年第一黑。 先给大家介绍一下今天我们要黑的验证码插件。在Wordpress官网的插件注册页面（https://wordpress.org/plugins/）搜索“captcha”，返回的第一条结果“Really Simple CAPTCHA”就是今天我们要开刀的插件了。 由于这个插件是开源的，我们可以用它的源代码任意生成我们训练需要的验证码图片了。为了让这件事更有一点挑战性，我们不如给自己设定一个问题解决的时间限制——就15分钟吧！ 插播：我绝对没有任何批评“Really Simple CAPTCHA”这个插件或它的作者的意思。这个插件的作者本人也承认这个插件已难以保证安全性了，并建议大家使用别的方法。本文只是在单纯地阐述一个有趣而快捷的技能挑战。然而，如果你正好是这个插件的100万多个用户里的一个，可能你是时候换个别的工具了。 热身准备 为了制定一个作战计划，让我们先来看看“Really Simple CAPTCHA”这个插件能够生成的是什么类型的图片吧。 好吧，看来这是个由4个字母组成的验证图片。让我们核实一下它的PHP源代码： 没错，它用了任意混合4种不同的字体的方式来生成了4个字符的验证码。我们可以看到，这个系统为了避免用户混淆字母和数字，在代码中设定了从来不使用O和I这两个字母。所以算下来我们需要识别的字母和数字共有32个。 目前用时：2分钟。 工具一览 工欲善其事，必先利其器。要解决我们的问题，我们需要用到以下工具： Python 3 Python有很多机器学习和计算机视觉库可以调用。 OpenCV OpenCV是一个目前流行的用于计算机视觉和图像处理的框架，我们需要用到它去处理CAPTCHA验证码图像。这个框架拥有Python API，因此我们可以直接使用Python调用它。 Keras Keras是一个用Python编写的深度学习框架，它使用极少的代码就可以简单地实现对深度神经网络的定义、训练和应用。 TensorFlow TensorFlow是谷歌的机器学习库。虽然我们将会在Keras中编码，但Keras自己实际上并不会执行神经网络的逻辑，而是背地里把所有的脏活累活都丢给谷歌的TensorFlow机器学习库去处理。 好了，说完工具，让我们回到挑战本身吧。 创建数据集 为了训练机器学习系统，我们首先需要训练数据。而为了破解CAPTCHA系统，我们需要的训练数据应该长这样： 由于我们已经有了WordPress插件的源代码了，因此我们只需要对其源代码小作改动，就可以得到10,000张验证码图片及其相对应的答案。 在花费了数分钟来捣腾代码并增加了一个简单的“for”循环之后，我得到了一个装满了训练数据的文件夹，里面有10,000个PNG格式的文件，文件名就是与之匹配的正确答案： 这是全文唯一一个我不会给你们示范代码的部分。我们在做的事情是出于学习和教育目的，并非真的要你们在现实中去黑掉WordPress的网站。不过，我将会给你们我在最后生成的那10,000张图片，以便你们可以复制我的结果。 目前用时：5分钟 简化问题 现在已经有了可用的训练数据，我们可以直接用这些数据去训练一个神经网络： 在训练数据足够多的情况下，这个方法应该是可行的，但我们还能把问题进一步简化。在仅有15分钟的情况下，问题越简单，我们所需要的训练数据和计算能力也就越少。 幸运的是这些CAPTCHA图片始终只有4个字母组成，如果我们能够把图片分割开让每个字母成为一张独立的图片，那么我们就可以训练神经网络让它逐个识别字母。 手动用PS分割图片显然是不现实的——我们现在只剩下10分钟了。同时，我们也无法把那些图像进行四等分的切割，因为CAPTCHA系统为了防止如下情况（如左侧动图），会随机地把字符放置在不同水平高度的位置上。 字符在每张图片中是随机放置的，使得分开这些字符变得略为困难 幸运的是，我们仍可以自动化实现这个过程。在图像处理的过程中，我们通常需要探测出那些颜色相同的像素“斑点”，而环绕这些连续的像素斑点的边界则被称为“轮廓线”。OpenCV恰好有一个自带的叫做findContours()的函数，可以用于检测那些连续的区域。 那么，我们首先从一张未经处理的CAPTCHA图片开始： 然后为了方便我们找到那些连续的区域，我们要将这种图片转化成纯粹的黑白图像（这个过程被称作二值化）： 接下来，我们将要使用OpenCV的findContours()函数去检测出那些包含了连续且颜色相同的像素斑点的部分： 之后我们需要做的事情很简单，只要把每个区域作为独立的图像文件保存下来就好了。同时，因为我们已知每张图片包含了从左到右排列的四个字母，在保存每个字母图像的时候我们可以按照排列的顺序来进行标记。只要我们保存图片的顺序是无误的，那么我们就能够保证用正确的字母来标注每个图片。 但在这时，我突然发现了一个问题！这些验证码图片的字母有的时候是重叠在一起的： 这意味着某些提取出来的图像，在一个独立的区域里实际上混合了两个字母： 如果我们不及时解决这个问题，那么我们生产出来的将是一堆劣质的训练数据。为了防止机器误以为这种由两个字母挤成一团的图像当成是一个字母，我们必须要修正这个问题。 这里有一个简单的小技巧：如果一个单独等高线内的区域的宽度远远大于它的高度，那么我们可以推测这个区域内可能有两个字母挤压在一起了。在这种情况下，我们可以直接把合并的字母对半切割并当作两个独立分开的字母： 我们将会对半分开任何宽度远大于高度的区域，并将其按两个独立的字母来处理。这个技巧听起来有点不靠谱，但是应用在这些CAPTHCA验证码图片上的效果却很不错。 现在我们已经有了提取单独字母的方法了，接下来可以用来处理我们手头上所有的CAPTCHA验证码图片了。我们的目标是收集每个字母的不同变体，并且把这些变体统一整理归类在其所属字母的文件夹里。 下面这张图展示的就是我在对所有图片进行字母提取之后装着所有“W”的文件夹： 其中有些“W”字母是从那10,000 CAPCHA图片中提取出来的，我最后得到了1,147个不同的“W”图像。 目前用时：10分钟 训练神经网络 由于我们只需要辨识单个字母和数字的图片，我们不需要用到非常复杂的神经网络结构，毕竟辨识字符要比辨识一些如小猫小狗之类的较复杂的图片简单得多了。 我们将要使用的是一个结构简单的卷积神经网络，里面有两个卷积层和两个完全连接的隐藏层和输出层: 如果大家想知道更多关于卷积神经网络如何运作，以及为什么它们是图像识别的理想方法，可以去看看这篇文章 （https://medium.com/@ageitgey/machine-learning-is-fun-part-3-deep-learning-and-convolutional-neural-networks-f40359318721）或者这本书 （https://www.pyimagesearch.com/deep-learning-computer-vision-python-book/）。定义这个神经网络结构只需要利用Keras来写上几行代码： 现在，我们可以进行训练了！ 在对训练数据集进行了10个循环的训练之后，我们得到了几乎100%的准确率。这时候，我们应该就能够随时随地自动绕过这个CAPTCHA系统了！ 目前用时：15分钟（哈！） 牛刀小试 好了，现在我们有一个已经训练好的神经网络模型了，接下来破解一个真正的CAPTCHA系统就相当简单了： 从一个网站上抓取一个使用WordPress插件的真实CAPTCHA图像。 利用我们刚刚创建训练数据集的方法，把一张CAPTCHA验证码图片分成四张独立的字符图片。 让我们的神经网络对每个字母图片进行预测。 将模型预测出的4个字符作为验证问题的答案。 新年第一黑完美收工！ 我们最后得到的验证码破解系统长这样： 也可以用终端实现破解： 动手来试试吧！ 本文来源于：手把手丨输验证码输到崩溃？教你15分钟黑掉全球最流行的验证码插件-变化吧门户 特别声明：以上文章内容仅代表作者本人观点，不代表变化吧门户观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。

我在上文里已经陈述过，用WordPress搭建的网站，无论是门户还是自建站，作为防护类的插件必须安装，而首先要装的必须是防护类的插件。 还记得当初的熊猫烧香吗？ 还记得“想哭”勒索病毒事件吗？ 如果你没遇到，恭喜你，但是作为网站管理人员，你当然不愿意你的站点遭受攻击，被黑。对于小白建站最不放心的就是怕站点被黑，账号被盗。 WordPress 是一个非常受欢迎的架站平台，因此它吸引了大量黑客的注意力，世界上30%的网站是WordPress搭建的，这也成为黑客的首要攻击目标。WordPress 被黑的情形略有耳闻，尽管WordPress 官方不断努力的使WordPress 成为一个安全的内容管理系统，但是新的恶意攻击和黑客还是不断涌现。 如果你发现你的网站有下面的情况，很有可能代表你的网站已经被黑了 ?网址被导向其他网站 ?无端被注册陌生的新帐户 ?被添加莫名的文章或是广告 ?网站变得超级慢 ?密码被更改无法登入控制台 ? Google 搜寻上显示“这个网站可能已遭到入侵”的警告 黑客通常会利用某些插件或是网页主题的漏洞来入侵你的网站，或是某些不良的开发商在自己的产品嵌入有害的代码，所以这就是为什么我们需要定期扫描WordPress 档案，检查恶意软体或是恶意代码是否被安插到我们的网站上。 而我们需要在WordPress上安装攻击防御的插件的原因，这好比你手机上的360一样，是网站的安全卫士。有能力让电脑裸奔的人毕竟是少数人，何况网站更是裸露在互联网上，更应该有一些保护措施。今天给大家分享一款WordPress界的杀毒插件—Wordfence Security。 壹 Wordfence Security 简介 Wordfence Security是WordPress上最受欢迎的安全防护插件之一，它有超过3百万以上的有效安装以及3,000多个五星评价。 它包含了网页防火墙（Web Application Firewall）、恶意软体扫描功能（Malware Scanner）和双重要素验证（Two-factor Authentication），能够确保你的网站安全。 以下是Wordfence Security 的功能特色 WordPress防火墙：Web应用程序防火墙会通过识别恶意流量，阻止常见安全威胁像虚假广告，恶意黑客和僵尸网络的扫描，阻止攻击者访问我们的网站。 WordPress安全扫描仪：扫描站点文件、主题文件、插件文件、主机硬盘等是否存在安全漏洞、木马、可疑代码、恶意软件等安全问题；检查您的站点是否存在已知的安全漏洞，并向您发出任何问题的警报。当插件关闭或放弃时，还会提醒您潜在的安全问题；通过扫描危险URL和可疑内容的文件内容，帖子和评论来检查您的内容安全。 登录安全：Wordfence整合了双重认证（2FA）功能。在它的功能当中，你可以轻松的启用它来为你的帐户添加第二层的安全保护。它会要求网站控制台的使用者不仅要输入密码，还要输入由Authenticator、Authy或是1Password等基于时间的一次性密码演算法（TOTP）生成的第二道密码。双重认证是目前最安全的登入防护方式之一，即使攻击者以某种方式获取你的帐号和密码，他们仍然无法登入受到双重认证防护的。 贰 WordfenceSecurity安装和设定教学 1，首先，我们进入WordPress 控制台的“插件->安装插件”页面搜寻“Wordfence Security”来“现在安装”，后“启用”： 在启用插件后会看到安全性通知的设定，输入电子邮件信箱后点击“继续”按钮： 输入你的付费版的秘钥，如果你没有就选择“No Thanks”跳过： 至此，我们就可以看到Wordfence在后台的布局如下： 2，开始进入Wordfence在后台的设定。 Dash: 进入到Wordfence 的Dashboard 会发现上方有一个要求我们设定防火墙的提示，请按下“CLICK HERE TO CONFIGURE”： Wordfence防火墙会将auto_prepend_file指令添加到你的伺服器当中，一般来说，它会自动侦测你的伺服器类型，所以你可以维持预设值并且点击Continue以进行下一个步骤： 完成防火墙的设定后，之前的提示应该会消失代表防火墙已经开始运作。刚开始启动的前7 天请将防火墙会处于“Learning Mode”： Firewall: 防火墙处于“学习模式”时， Wordfence 会将类似于黑客攻击的行为列入白名单，你应该像往常一样，尝试使用网站的所有功能，像是发布文章、变更主题、安装插件等等。在此期间使用的功能越多，将来收到要求加入白名单的机会就越小。 Wordfence“Learning Mode”，学习模式是让Wordfence 防火墙在安全的情况下习惯你的日常行为，如果你的网站最近才刚遭到黑客入侵，或者你目前正受到攻击，则不应该使用学习模式，你可以在任何时候将防火墙设定为“Enabled and Protecting”： 开启Wordfence 防火墙的“Enabled and Protecting”后，接下来你可以到“Scan”页面启动扫描，看看你的网站是否有被植入恶意代码或是有其他需要提升网站安全性的地方。 这是我网站扫描后的结果： 发现了7个问题，有些是因为我某些插件或者主题没有及时更新也会反应在这里，这里可以“Ignore”它们： 如果不确定要不要处理这些“问题”，请先备份网站后再处理，扫描出“问题”不一定代表网站就有啥问题。 接下来我们到“Login Security”页面启动双重认证（2FA） Login Security: 先使用手机下载Authenticator 的APP，然后用扫描的方式新增你的网站，新增完之后你应该会看到Google Authenticator 会不断的产生新的密码，由于密码在短时间之内不断的被更新，所以黑客很难破解这种保护方式。 1，使用Authenticator支援Wordfence  2FA认证: A、扫描Login Security页面中“Two-Factor Authentciation”呈现的二维码 B、接着下载还原密码。把它储存在一个安全的地方，如果你丢失了手机或是不小心删除了Authenticator 你将会需要使用它们来登入你的网站，总共有5 组还原密码，每组只能被使用一次。 C、输入手机上Authenticator 上的密码来启动双重认证功能。 2，设定页面调整双重认证（2FA）以符合你的需求 进入“Setting”,按如下设定： 在设定页面的下方可以输入Google reCAPTCHA的金钥，防止WordPress登入页面被机器人尝试破解密码。 点击“reCAPTCHA Service”去Google 的reCAPTCHA...

自定义内容管理( Custom Content Type Manager)插件的功能 自定义内容类型管理(CCTM)允许用户创建自定义内容类型(也称为文章类型)，也可以对每个下拉菜单、复选框和图像甚至于其他元素，提供标准化的自定义区域，这赋予了WordPress内容管理的功能。这个插件还允许导出和导入用户的内容定义，使得它易于在多个站点之间保证类似的结构。 假如想为门户添加一个单独的部分来发表电影评论。通过使用自定义文章类型，你可以创建一种新的文章类型，就像文章(posts)和页面(pages)一样，它可以包含一组不同的数据。比如新的管理菜单、专门的编辑页面、自定义分类 和 更多实用的发布管理功能。自定义文字类型 拥有新的文章管理选项，就像默认的文章类型(文章、页面、附件 )一样。一种 自定义文章类型 可以存储各种各样的信息。它有专门的编辑器、多媒体上传 并使用WordPress现有的表结构，便于数据管理。 后门的发现 此事件是由Sucuri安全团队(一个专门提供web安全服务的团队)首次进行追踪分析的。据Sucuri安全研究人员提到， 一开始他们是在其客户处发现一个命名奇怪的文件 (auto-update.php)，而起初并没发现有可疑行为，直到该插件进行更新的时候。 Sucuri安全团队提到当他们在为客户清除一个感染站点时，发现了一个可疑的文件auto-update.php，该文件是被存放在wp-content/plugins/custom-content-type-manager/.的路径下。具体如下图， 据研究分析，该后门程序，能从一个地址为http://wordpresscore .com/plugins/cctm/update/ 的服务端下载文件，并将它们保存为.php格式存放在插件配置目录下。 该插件既是上述提到的 Custom Content Type Manager (CCTM)，在过去三年里该插件主要用于创建自定义文章类型，现在已经积累了一定的用户数量，据初步统计目前已经在超过10,000个站点上安装了该插件。 插件疑云，神秘的管理者 从 Sucuri安全团队两个星期的调查来看，该插件在过去的10个月将近一年看起来像一个被放弃的项目，并无任何更新，然而近期神秘地更换了管理者。而该名名为wooranker的新开发者随后更新了插件，发布了一个新的版本。 我们在官方插件目录中找到的每一个WordPress插件，都是通过子版本存储库进行升级的。在问题跟踪系统的帮助下，任何人都可以使用该存储库去搜索相应的信息(包括像对象，时间以及变更事项等)在任意插件的任意版本中。比如，下图为近期CCTM更改的情况， 我们可以从上面截图看到，其中的一次更改是于2016年2月18日增加了auto-update.php文件。在此次更新中，“wooranker”改动并增加了下面的描述信息， “新管理者的小改动”(保留原始语法) 实际上，从上述截图中我们可以看到，两个星期前该插件仍然由fireproofsocks在维持更新，但之后其中的一项变动的描述为“将wooranker增添到readme中”，再到后面就变成wooranker在对该插件进行更新了。 或许该插件开发者已经对其失去兴趣，又或者受雇于wooranker。另一方面，因为实际上fireproofsocks已经将近一年没对该插件进行更新了，我们也推测是否 wooranke入侵了fireproofsocks的账户，随后增添了自身作为新的管理者。 此外，在2016年2月5日，wooranker也同时加入到 Postie插件项目中。而其在Postie插件项目的变动都为合法可查的，并且都由Postie插件的初始发起人同意。这一切看起来却有点令人摸不清头脑。那么接下来让我们来看看更新的恶意CCTM插件及wooranker 如何使用它入侵站点的。 自定义内容管理(CCTM)插件 0.9.8.8 版本存在恶意代码 而该名开发者对于更新的版本赋予了其新的“使命”。首先，新的版本如上述所看到的，增加了auto-update.php的文件，而据研究分析，该文件可从远程的服务器下载指定文件到受感染的站点。 通过Trac我们也看到了(于2月19日最后更新)。它增加了/includes/CCTM_Communicator.php文件(该文件会与auto-update.php联合运行，其主要的任务为ping wooranker的服务器端从而使得服务器能记录新感染的站点IP地址等信息。)以及将下述的代码段插入到插件的index.php文件中。 具体更改如下图， 该段代码作用为每当用户登录到WordPress站点时，将站点及用户的信息发送到wooranker的服务器(wordpresscore .com)上。 攻击路径重演 通过在受感染的站点上访问登陆，实现对攻击的回溯。 于2月28日，从源地址104.131.27.120发起了尝试使用Python脚本 (“python-requests/2.2.1 CPython/2.7.6 Linux/3.13.0-79-generic“)登录到WordPress。该站点的地址明显地通过新的CCTM_Communicator功能来获取的。 根据对受感染站点的监测，某次 wooranker企图登陆到一个受感染的站点，但由于站点管理员更改了登陆的URL，所以 wooranker未能成功入侵站点。随后看到尝试登陆受阻，wooranker也随即更改了策略。其利用auto-update.php后门，强制目标站点下载并安装另外一个名为c.php的文件，该文件主要用于创建另一名为wp-options.php的文件。后者主要用于篡改WordPress的核心文件。据研究发现，遭受篡改的主要有三个文件， 1、wp-login.php,将管理员用户的登录凭证发送至hxxp://wordpresscore .com/in/login/index.php; 2、wp-admin/user-new.php，窃取新创建的用户登录凭证，并将之发送至hxxp://wordpresscore .com/in/add-user/index.php; 3、wp-admin/user-edit.php，当用户修改密码时，窃取相关登录凭证，并将之发送到hxxp://wordpresscore .com/in/pass-change/index.php。 某些用户已自动更新至带有恶意代码的插件版本 上述的这些功能已被合并进CCTM(自定义内容类型管理)插件，版本为0.9.8.8，而目前已经有许多用户安装该版本，或者自动更新到他们的站点。 该名黑客针对核心WordPress文件的篡改，使得其能够控制用户登录、创建和编辑命令，同时在用户数据被加密之前将之拦截，并将用户的明文密码发送至服务器端。此外，wp-options.php甚至能在受感染的站点上创建管理员账户，一般以support为账户 / [email protected]为邮箱进行创建。 综上的情况，wooranker可在所有受感染的站点上拥有管理员账户，当用户访问站点进行登录时，使用什么密码也会被通知到wooranker。 黑客的真正身份? 当我们在分析确认黑客身份的时候，还发现了插件更新上的一个变化。在wooranker获取插件管理者权限后，首先就是将donutjs(据其“官网”显示，其为js轻量级框架)引用到includes/CCTM.php文件中。 可能对于很多人来说，几乎都没听过donutjs，甚至当你在搜索引擎上搜索的时候，也不会出现相关信息的检索结果。而根据分析检索，从其“官网”获知donutjs是一个轻量级的框架，主要是为开发js应用提供支持，据其官网所称，其主要对标的是 jQuery。以下为其官网的地址(donutjs)及宣传。 与 jQuery语法的对比，举例如下图 1、淡出元素并删除 2、调用ajax 而经过分析发现，上述提到的donutjs .com/jquery.js返回的信息却是为， 该代码段也是用于收集记录站点地址的。 接着我们还发现，wooranker实际上还掌控着donutjs .com的权限。当我们进行whois时，返回结果如下， wordpresscore .com 创建时间: 2015-11-23 注册姓名: Vishnudath Mangilipudi 管理员所在地: Andhra Pradesh 邮政编码: 524201 管理员所在国家: IN 管理员电话: +91.8985005295 DNS服务器： NS1.DIGITALOCEAN.COM...

为什么要使用smtp邮件发送功能，WordPress自带的邮件发送功能是用mail()函数发送的邮件,那么就会存在以下几种问题，主机不支持mail()函数，发送出去的邮件对方没收到，进入垃圾箱了。由于评论注册等功能都需要用到邮件发送功能,为了避免出现没收到，无法发送等问题，所以强烈推荐使用smtp邮件发送功能。 代码预览 //smtp发送邮件功能 add_action('phpmailer_init', 'mail_smtp'); function mail_smtp( $phpmailer ) { $phpmailer->FromName = '变化吧门户'; //名字 $phpmailer->Host = 'smtp.qq.com'; //smtp地址,可以到你使用的邮件设置里面找 $phpmailer->Port = 465; //端口，一般不用修改 $phpmailer->Username = '[email protected]';  //邮件账号 $phpmailer->Password = '[email protected]'; //邮件密码 $phpmailer->From = '[email protected]';//邮件账号 $phpmailer->SMTPAuth = true; $phpmailer->SMTPSecure = 'ssl'; //tls or ssl （port=25留空，465为ssl）一般不用修改 $phpmailer->IsSMTP(); 使用说明 只需要将以上代码添加到functions.php文件即可 本文来源于：WordPress集成smtp 免插件 邮件发送功能-变化吧门户 特别声明：以上文章内容仅代表作者本人观点，不代表变化吧门户观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。

易受攻击的插件负责帮助网站所有者轻松地使其网站符合GDPR标准，并拥有超过100,000名用户。 Wordpress安全团队已经发布了解决该漏洞的补丁，但尚未更新的用户仍然容易受到恶意后门攻击。 网络 犯罪分子 利用 WP GDPR合规中 存在的特权升级零日漏洞- 一个WordPress插件 - 帮助网站站长符合GDPR。据报道，已被超过100,000名用户使用这个易受攻击的插件，现在他们都担心会遭受恶意后门攻击。 三周前，在攻击者发现插件漏洞后，他们开始利用它来访问WordPress网站并安装恶意后门脚本。 但是， 在WP GDPR合规论坛上发现有关网站被黑客入侵的 多个 报告 之后 ，安全研究人员发现该攻击可能允许攻击者在易受攻击的网站上安装有效载荷并获得完全访问权限。 WordPress安全团队调查了黑客的来源，并在一些被黑网站上发现了易受攻击的插件。 两个关键的漏洞 根据 Defiant的 安全研究人员 - 一家为WordPress网站运行Wordfence防火墙插件的公司 - 恶意软件扫描揭示了两种主要的攻击类型。 第一个漏洞允许修改用户的注册设置。 同时，第二个漏洞涉及注入由WP-Cron执行的恶意调度操作。 研究人员表示，这两种攻击都使用不同类型的后门脚本。 攻击者试图使第二个漏洞利用场景比第一个更隐蔽。 然而，他们失败了，因为第二个漏洞攻击导致了零日漏洞的发现。 黑客也未能删除2MB自动编码插件，这引起了网站所有者的注意并引起了恐慌。 管理员权限 目前利用此漏洞的常见漏洞之一是攻击者能够修改易受攻击网站上的任意设置。 通过允许新用户注册并将新用户的默认角色更改为管理员，攻击者可以轻松创建对易受攻击网站的特权访问。 漏洞已修补 在作者发布版本1.4.3之后两天，易受攻击的插件恢复到原始状态，其中包含报告问题的补丁。 本周早些时候，WordPress安全团队删除了易受攻击的插件。 除了这个补丁，该团队还在其代码中识别并修复了其他几个安全问题，这些问题也被认为是攻击的原因。 正在进行的攻击 该漏洞已在更新的更新版本1.4.3中进行了修补。 与此同时，运行1.4.2及更早版本的所有站点仍然容易受到此攻击。 报告显示，攻击者正在针对WP GDPR合规性错误，该错误允许他们调用易受攻击的插件的内部功能之一。 反过来，这允许攻击者更改插件和整个WordPress CMS的设置。 在某些情况下，黑客似乎是从黑客网站储存信息，而不是试图部署恶意后门脚本，如SEO垃圾邮件，漏洞利用工具包，恶意软件或其他类型的恶意活动。 研究人员建议网站所有者更新或删除易受攻击的插件，以免受到攻击。 本文来源于：严重的WordPress插件 0day漏洞允许黑客进行特权升级攻击-变化吧门户 特别声明：以上文章内容仅代表作者本人观点，不代表变化吧门户观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。