- 综合排序
- 最热优先
- 最新优先
- 来自专栏畅所欲言
WordPress 5.4.2版本发布,BUG维护和安全更新
wp-admin/themes.php wp-admin/css/common.css wp-admin/images/w-logo-blue.png wp-admin/includes/class-wp-site-health.php wp-admin/includes/class-wp-terms-list-table.php wp-admin/includes/media.php wp-admin/includes/misc.php 开发者须知#开发者须知 修订的文件列表#修订的文件列表 wp-admin/about.php wp-admin/themes.php wp-admin/css/common.css WP-管理/ PHP WP-admin/includes/class-WP-terms-list-table . PHP wp-admin/includes/media.php wp-admin/includes/misc.php wp-admin/includes/theme.php WP-内容/主题/211
2.6K20发布于 2020-06-15 - 来自专栏魏杰的技术专栏
WordPress多站点模式 在Nginx下的rewrite配置方法
file=$2 [L] # add a trailing slash to /wp-admin RewriteRule ^([_0-9a-zA-Z-]+/)? wp-admin 1wp-admin/ [R=301,L] 1 [L] RewriteRule ^[_0-9a-zA-Z-]+/(.*\.php) 1 [L] RewriteRule . index.php 下面是我调整后的Nginx下rewrite规则: location ~ /[_0-9a-zA-Z-]+/wp-admin/$ { rewrite ^/[_0-9a-zA-Z-]+/wp-admin /$ /wp-admin/ break; } location ~ /[_0-9a-zA-Z-]+/wp-([a-zA-Z-])*\.php { rewrite ^/[_0-9a-zA-Z
2.5K20编辑于 2022-12-23 - 来自专栏晴天小屋
wordpress默认后台登陆管理地址修改方法汇总
与上面的那个密码相同 RewriteRule ^dawa/(.*) wp-admin/$1? %{QUERY_STRING}& 与上面的那个密码相同 这个.htaccess实现了URL的重写,禁止访问wp-admin下的所有.php文件,访问/dawa 的话会直接替换成/wp-admin下的对应文件 也就是说访问/dawa与访问wp-admin的结果是一样的,但是访问wp-admin则行不通。 更名完成,但是会有一些问题需要修改部分文件。 因为wp-admin被禁止访问,而部分功能还直接调用wp-admin的.php文件。这导致上传功能将不能使用;自动保存,自定义字段都无法使用。 三个文件中所有的wp-admin,换成dawa 这样edit链接与comments编辑链接将继续有效。
10.7K20发布于 2021-08-09 - 来自专栏Bypass
使用Web日志还原攻击路径
,仅显示包含wp-admin、wp-login以及POST等关键字的记录。 /wordpress/wp-admin/" 84.55.41.57 - - [17/Apr/2019:07:03:17 +0100] "GET /wordpress/wp-admin/theme-editor.php 84.55.41.57 - GET /wordpress/wp-admin/ 200 攻击者访问了网站的主题编辑器: 84.55.41.57 - GET /wordpress/wp-admin/theme-editor.php 84.55.41.57 - GET /wordpress/wp-admin/update.php? 84.55.41.57 - POST /wordpress/wp-admin/admin-ajax.php 200 - http://www.example.com/wordpress/wp-admin
2K11发布于 2020-02-14 - 来自专栏kali blog
Wordpress <= 4.9.6 任意文件删除漏洞
代码未检查meta['thumb']的内容,直接带入unlink函数,如果 2.文件/wp-admin/post.php中: switch($action) { case 'editattachment blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/ image.png 漏洞利用 登录后台,添加媒体 访问 http://你的域名/wp-admin 上传任意图片. image.png 将 $meta['thumb'] 设置为我们要删除的文件 3.1 点击第二步中我们上传的图片, 并记住图片ID. image.png 3.2 访问 http://你的域名/wp-admin 在网页源代码中找到 _wpnonce. image.png 发送Payload: curl -v 'http://9c9b.vsplate.me/wp-admin/post.php? wp-config.php' 删除文件 4.1 在网页源码中找到另外一个 _wpnonce. image.png 发送Payload: curl -v 'http://9c9b.vsplate.me/wp-admin
1.6K10编辑于 2021-12-17 - 来自专栏Khan安全团队
WordPress Plugin WPSchoolPress 2.1.16 - 'Multiple' 跨站脚本 (XSS)
概念验证: 作为管理员 - 添加新的教师出勤 (/wp-admin/admin.php? =animation-name:rotation onanimationstart=alert(/XSS /)// 通过单击“添加”按钮添加其他教师出勤时将触发 XSS - 添加一个新的学生出勤 (/wp-admin animation-name:rotation onanimationstart=alert(/XSS /)// 通过单击“添加/更新”按钮添加另一个出勤时将触发 XSS - 添加一个新的主题标记字段 (/wp-admin page=sch-settings&sc=subField&ac=edit&sid=3) - 创建一个新的主题 (/wp-admin/admin.php? sch-subject),在主题名称字段中包含以下有效负载:“ autofocus onfocus=alert(/XSS/)// 编辑主题时会触发 XSS - 在考试名称字段中使用以下有效负载创建一个新考试 (/wp-admin
79820编辑于 2021-12-17 - 来自专栏全栈技术
如何登录到你的 WordPress 管理仪表板
WordPress 仪表板之前,你需要一些项目: WordPress 后端 URL:如果你在域的根/主文件夹中安装了 WordPress,则访问 WordPress 的 URL 将类似于:example.com/wp-admin 按照以下步骤登录到你的 WordPress 管理仪表板: 第 1 步:要开始使用,请打开 Web 浏览器并转到 example.com/wp-admin 或 example.com/wp-login。 这意味着要访问 WordPress 仪表板,只需将/wp-admin 添加到安装 WordPress 的 URL 的末尾即可。 注意:请记住,如果你已将 WordPress 安装到 URL 的文档根目录,则 URL 将为 example.com/wp-admin。 如果你已在域中名为“test”的文件夹中安装了 WordPress,你将导航到 example.com/test/wp-admin。
2.2K31编辑于 2022-10-04 - 来自专栏Khan安全团队
WordPress Contact Form Entries Cross 跨站脚本攻击
GET /wp-admin/ admin.php? page=vxcf_leads&form_id=cf_5&status&tab=entries&search&order=desc&orderby=fir+GET /wp-admin/admin.php http://example.com/wp-admin /admin.php? status 参数容易受到最危险的 XSS 攻击:只需发送以下请求 http://example.com/wp-admin/admin.php? order、orderby 和 search 参数也容易受到 XSS 攻击: http://example.com/wp-admin/admin.php?
59520编辑于 2022-01-15 - 来自专栏Khan安全团队
WordPress Curtain 1.0.2 跨站请求伪造
## 易受攻击的网址: http://localhost:10003/wp-admin/options-general.php? page=curtain&_wpnonce=&mode= <http://localhost:10003/wp-admin/options-general.php? page=curtain&_wpnonce=&mode=0>1 <html> <body> <form action="http://localhost:10003/<em>wp-admin</em>/options-general.php
38120编辑于 2022-04-21 - 来自专栏安全
Wordpress <= 4.9.6 任意文件删除漏洞
文件/wp-admin/post.php中: 123456789101112 ...switch($action) {... case 'editattachment': check_admin_referer 登录后台,添加媒体 访问 http://9c9b.vsplate.me/wp-admin/upload.php, 上传任意图片. Wordpress AFD 3. Wordpress AFD 3.2 访问 http://9c9b.vsplate.me/wp-admin/post.php?post=4&action=edit. Wordpress AFD 3.3 发送Payload: 1 curl -v 'http://9c9b.vsplate.me/wp-admin/post.php? Wordpress AFD 4.2 发送Payload: 1 curl -v 'http://9c9b.vsplate.me/wp-admin/post.php?
2.4K70发布于 2018-06-27 - 来自专栏站长的编程笔记
【说站】WordPress程序robots.txt的正确写法实例
WordPress默认的robots写法非常简单,写法如下: User-agent: * Disallow: /wp-admin/(不允许访问的目录) Allow: /wp-admin/admin-ajax.php 、、 1、Disallow: /wp-admin/、Disallow: /wp-content/和Disallow: /wp-includes/,用于告诉搜索引擎不要抓取后台程序文件页面; 2、Disallow User-agent: * Disallow: /cgi-bin/ Disallow: /wp-admin/ Disallow: /wp-content/cache/ Disallow: /wp-content
1.3K10编辑于 2022-11-24 - 来自专栏旧云博客
WordPress 冷门但实用的插件
插件名:Easy remove item menu 插件地址:https://www.ixsdh.com/wp-admin/plugin-install.php? 插件名: Term Management Tools 插件地址: https://www.ixsdh.com/wp-admin/plugin-install.php? 插件地址:https://www.ixsdh.com/wp-admin/plugin-install.php? 插件名:Pinyin Slugs 插件地址:https://www.ixsdh.com/wp-admin/plugin-install.php? 插件:Enable SVG, WebP, and ICO Upload 插件地址:https://www.ixsdh.com/wp-admin/plugin-install.php?
72110发布于 2021-08-09 - 来自专栏FreeBuf
企业安全建设之搭建开源SIEM平台(下)
/1.1" 200 51789 "-" "print `env`" 180.76.152.166 - - [26/Feb/2017:13:12:38 +0800] "GET /wordpress/wp-admin 生成结果示例为: - -> http://180.76.190.79/wordpress/wp-admin/1.php- -> http://180.76.190.79/wordpress/wp-admin /admin-ajax.php- -> http://180.76.190.79/wordpress/wp-admin/customize.phphttp://180.76.190.79/wordpress / -> http://180.76.190.79/wordpress/wp-admin/edit-comments.phphttp://180.76.190.79/wordpress/ -> http ://180.76.190.79/wordpress/wp-admin/profile.phphttp://180.76.190.79/wordpress/ -> http://180.76.190.79
2.4K70发布于 2018-02-23 - 来自专栏Khan安全团队
WordPress Plugin Elementor 3.6.2 - 远程代码执行(RCE)
this->maybe_handle_ajax(); # } # } ); # # This code is triggered whenever ANY user account visits /wp-admin In order to do this, we only need to call /wp-admin/admin-ajax.php # 2. The parameter "_nonce" must be retrieved after login by inspecting the /wp-admin page (this exploit does DoLogin(username, password): global cookies loginUrl = baseUrl + 'wp-login.php' adminUrl = baseUrl + 'wp-admin Login', 'redirect_to' : adminUrl, 'testcookie' : 1 } # search for: "ajax":{"url":"http:\/\/baseUrl\/wp-admin
1.2K20编辑于 2022-04-21 - 来自专栏运维
WordPress5.3.2手动升级
in /var/www/html/wp-admin/includes/update.php on line 139 正在从https://downloads.wordpress.org/release/ [root@wordpross ~]# unzip wordpress-5.3.2.zip [root@wordpross ~]# chown 33:tape wordpress -R 删除原站点下wp-admin wp-config.php20181119 wp-load.php xmlrpc.php wp-activate.php wp-config-sample.php wp-login.php wp-admin wp-content wp-mail.php [root@wordpross www]# rm -rf wp-admin/ [root@wordpross y 检查站点 https://minminmsn.com/wp-admin/upgrade.php 无需升级 您的WordPress数据库已经是最新的了!
1.4K31发布于 2019-12-25 - 来自专栏细嗅蔷薇
开启CDN后WordPress后台登陆不上去或部分插件加载不出来
只要禁止缓存/wp-admin文件夹和设置.php文件缓存时间为0即可。 原因是因为wordpress后台登陆方式有两种,第一是/wp-admin,解决办法是禁止缓存/wp-admin文件夹就可以了,可以参考下图设置,别的CDN有缓存黑名单的就加进去。
2.9K20发布于 2020-04-20 - 来自专栏LoRexxar's Blog
从瑞士军刀到变形金刚--XSS攻击面拓展
poc: url = window.location.href; url = url.split('wp-admin')[0]; p = 'wp-admin/user-new.php'; user = url = window.location.href; url = url.split('wp-admin')[0]; p = 'wp-admin/admin.php?' 这个链接地址为 wp-admin/admin-ajax.php? curl的链接 wp-admin/admin-ajax.php? ; p2 = 'wp-admin/admin-ajax.php?'
87110编辑于 2023-02-21 - 来自专栏WordPress果酱
WordPress 技巧:侧边栏登录窗口
>/wp-admin/">Dashboard <?php if ( $user_level >= 1 ) : ?>
- Write an article
<?php endif // $user_level >= 1 ? >/wp-admin/profile.php">Profile and personal options- <a href="<?php bloginfo('url') ?
1K10编辑于 2023-04-14 - 来自专栏深度学习那些事儿
WordPress中wp-admim管理后台(404)无法进入,无限循环跳出解决方法
两天没登博客,今天突然无法进入管理员界面了,通常都是在网站后缀加上/wp-admin进去,今天竟然出现了进不去的情况,错误网址上面显示: oldpan.me/login__trashed? 遇到这种问题网上的方法有很多,按以下步骤一一来进行: 1、首先通过ssh登录你的博客服务器,看wwwroot根目录下wp-admin文件夹还在不在,一般来说都是在的,如果不在的话问题有点大; 2 插件冲突导致页面无法正式访问,这种情况的话,首先也是到达wwwroot根目录下,cd进行wp-content目录,找到plugins目录,将其改名,利用mv plugins pp改成pp名字,然后再尝试进去wp-admin 3、另一个常见的原始是该目录没有权限: 将wp-admin目录的权限改成755或者最好把所有的wwwroot下的所有目录和文件都改成755,利用chmod -R 755 wwwroot进行操作 -f $request_filename){ rewrite (.*) /index.php; } } rewrite /wp-admin$ $scheme://$host$uri/ permanent
6.5K60发布于 2018-06-21 - 来自专栏网络收集
WordPress修改固定链接和伪静态
.*) /index.php; } rewrite /wp-admin$ $scheme://$host$uri/ permanent; 或者选择 wordpress代码如下 location / { $args; } # Add trailing slash to */wp-admin requests. rewrite /wp-admin$ $scheme://$host$uri/ permanent
1K20编辑于 2022-01-21
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号