拓界行銷-騰訊雲台灣唯一合作廠商、跨境電商、微信微博行銷、大陸網路行銷廣告投放

以下是wordpress的絕對路徑漏洞安全性處理：

1、/wp-includes/registration-functions.php

2、/wp-includes/user.php

3、/wp-admin/admin-functions.php

4、/wp-admin/upgrade-functions.php

只要直接訪問以上文件或者訪問當前wordpress網站的主題目錄下任意php文件都會爆出網站的絕對路徑，就連wordpress官方的主題twentytwelve也不例外。

解決方法一、在以上文件的的頭部<?php 後加入：

error_reporting(0);

解決方法二、直接修改php.ini隱藏php報錯。

保護wordpress後台不被直接訪問，防止直接post登錄wordpress後台

不用訪問wp-login.php文件，而是直接通過post遞交參數給wp-login.php來直接登錄網站後台，那麼$_GET對wp-login.php做的訪問限制就形同虛設，那麼該如何來有效的防​​止wordpress的登錄文件不被直接訪問而且不能以正常的post方式來登錄網站後台呢？

第一步：我們登錄後台進入到選項：在WordPress地址（URL）這一欄加上/ＸＸＸＸ（自由輸入）



第二步：我們在網站根目錄下新建一個名為ＸＸＸＸ的目錄，然後將除了index.php、robots.txt以及.htaccess之外的所有網站文件移至ＸＸＸＸ目錄(登錄變為域名/ＸＸＸＸ/wp -login.php)。

第三步：打開index.php並將

require('./wp-blog-header.php');

修改為：

require('./ＸＸＸＸwp-blog-header.php');

這樣一來wordpress的後台地址以及登錄post提交參數的地址都隨著wordpress系統文件的移​​動而改變了，再配合$_GET訪問限制方法就可以達到很好的防駭效果。