最近在开发会员中心,总感觉有些安全问题,构造到前台的会员系统也是需要注意很多事情的,有些漏洞可能我们都不能一时间察觉,下面列出一些需要注意的事项。
主题的 functions.php 中插入以下 PHP 代码
- add_filter('upload_mimes', 'custom_upload_mimes');
- function custom_upload_mimes( $existing_mimes=array() ) {
- // 注意中括号中的名称,必须取自上面支持列表中中括号的名称
- unset( $existing_mimes['exe'] ); //此处禁止了上传exe后缀名的可运行文件
- unset( $existing_mimes['jpg|jpeg|jpe'] ); //此处禁止了上传jpg、jpeg和jpe后缀名的压缩文件
- unset( $existing_mimes['gif'] ); //此处禁止了上传gif后缀名的图片文件
- unset( $existing_mimes['png'] ); //此处禁止了上传png后缀名的图片文件
- return $existing_mimes;
- }
如何让 WordPress 只支持上传图片文件,其他文件一概拒绝上传。实现方法很简单,我们在当前主题的 functions.php 中插入以下 PHP 代码即可:
- // Add the filter
- add_filter('upload_mimes', 'custom_upload_mimes');
- function custom_upload_mimes( $existing_mimes=array() ) {
- $existing_mimes = array('jpg|jpeg|jpe' => 'image/jpeg',
- 'gif' => 'image/gif',
- 'png' => 'image/png',
- 'bmp' => 'image/bmp',
- 'tif|tiff' => 'image/tiff',
- 'ico' => 'image/x-icon');
- return $existing_mimes;
- }
如果你不想让默认角色的用户进入 WordPress 后台乱逛,你可以在当前主题的 functions.php 中加入以下代码,然后使用默认角色的用户帐号登录
- if ( is_admin() && ( !defined( 'DOING_AJAX' ) || !DOING_AJAX ) ) {
- $current_user = wp_get_current_user();
- if($current_user->roles[0] == get_option('default_role')) {
- wp_safe_redirect( home_url() );
- exit();
- }
- }
- // 修改WordPress用户名过滤机制,通过 Email 获取用户名
- function ludou_allow_email_login($username, $raw_username, $strict) {
- if (filter_var($raw_username, FILTER_VALIDATE_EMAIL)) {
- $user_data = get_user_by('email', $raw_username);
- if (empty($user_data))
- wp_die(__('<strong>ERROR</strong>: There is no user registered with that email address.'), '用户名不正确');
- else
- return $user_data->user_login;
- }else {
- return $username;
- }
- }
-
- // 修改登录界面的文字,"用户名"改成"用户名或邮箱"
- function ludou_change_text() {
- echo '<script type="text/javascript">
- var user_login_node = document.getElementById("user_login");
- var old_username_text = user_login_node.parentNode.innerHTML;
- user_login_node.parentNode.innerHTML = old_username_text.replace(/用户名/, "用户名或邮箱");
- </script>';
- }
-
- if (in_array($GLOBALS['pagenow'], array('wp-login.php')) &&
- strpos($_SERVER['REQUEST_URI'], '?action=register') === FALSE &&
- strpos($_SERVER['REQUEST_URI'], '?action=lostpassword') === FALSE &&
- strpos($_SERVER['REQUEST_URI'], '?action=rp') === FALSE ) {
- add_filter('sanitize_user', 'ludou_allow_email_login', 10, 3);
- add_action('login_footer', 'ludou_change_text');
- }
将以下 PHP 代码复制到当前主题目录下的 functions.php 中,即可让 WordPress 支持使用中文用户名注册和登录:
- function ludou_non_strict_login( $username, $raw_username, $strict ) {
- if( !$strict )
- return $username;
- return sanitize_user(stripslashes($raw_username), false);
- }
- add_filter('sanitize_user', 'ludou_non_strict_login', 10, 3);
让用户注册成功后自动登录,并跳转到指定页面,即让用户省了手动登录这一步,又提高了用户体验。实现起来很简单,我们可以在当前主题的 functions.php 添加以下 PHP 代码:
- // 用户注册成功后自动登录,并跳转到指定页面
- function auto_login_new_user( $user_id ) {
- wp_set_current_user($user_id);
- wp_set_auth_cookie($user_id);
- // 这里设置的是跳转到首页,要换成其他页面
- // 可以将home_url()改成你指定的URL
- // 如 wp_redirect( 'http://www.newsky365.com' );
- wp_redirect( home_url() );
- exit;
- }
- add_action( 'user_register', 'auto_login_new_user' );
这个问题也很好解决,将下面的 PHP 代码放到当前主题的 functions.php 中即可:
- add_filter('logout_url', 'ludou_logout_redirect', 10, 2);
- function ludou_logout_redirect($logouturl, $redir) {
- $redir = 'https://www.cdsy.com.cn/'; // 这里改成你要跳转的网址
- return $logouturl . '&redirect_to=' . urlencode($redir);
- }
这样你在后台页面右上角点击退出后,就可以跳转到指定页面了。如果你是想在前台添加一个退出链接,点击后退出登录并跳转到指定站内页面,可以使用以下代码,代码中网址改成你的:
- <?php if ( $user_ID ) { ?>
- <a href="<?php echo wp_logout_url( 'https://www.cdsy.com.cn/' ); ?>" title="Logout">Logout</a>
- <?php } ?>
如果是要跳转到首页,可以使用下面的代码:
- <?php if ( $user_ID ) { ?>
- <a href="<?php echo wp_logout_url( home_url() ); ?>" title="Logout">Logout</a>
- <?php } ?>
如果是要跳转到退出前所在的页面,可以使用以下代码:
- <?php if ( $user_ID ) { ?>
- <a href="<?php echo wp_logout_url( home_url(add_query_arg(array(),$wp->request)) ); ?>" title="Logout">Logout</a>
- <?php } ?>
最后一个,也是一个非常不错的功能
很多 WordPress 博客都开放了用户注册的功能,用户可以参与到博客的内容建设当中来,也就是一个博客由多个用户来写。现在有这样的需求,如何实现在某一个用户发表文章后,其他用户都能收到 Email 通知,下面是实现方法:
在当前的 WordPress 主题目录下的 functions.php 中,添加以下 PHP 代码就可以了:
- function newPostNotify($post_ID) {
- if( wp_is_post_revision($post_ID) ) return;
- global $wpdb;
- $get_post_info = get_post($post_ID);
- if ( $get_post_info->post_status == 'publish' && $_POST['original_post_status'] != 'publish' ) {
- // 读数据库,获取所有用户的email
- $wp_user_email = $wpdb->get_col("SELECT DISTINCT user_email FROM $wpdb->users");
- // 邮件标题
- $subject = 'xx博客有新文章';
- // 邮件内容
- $message = '文章标题:' . get_the_title($post_ID) . '<br />';
- $message .= '文章网址:<a href="' . get_permalink($post_ID) . '">' . get_permalink($post_ID) . '</a><br />';
- // 发邮件
- $message_headers = "Content-Type: text/html; charset=\"utf-8\"\n";
- wp_mail($wp_user_email, $subject, $message, $message_headers);
- }
- }
- // 钩子一旦 WordPress 有新文章发布或文章被修改即刻执行newPostNotify函数
- add_action('publish_post', 'newPostNotify');
有种骚扰的嫌疑,毕竟不是每位注册用户都希望收到类似的邮件。
湘公网安备 43102202000103号
