知乎原答:https://www.zhihu.com/question/385295712/answer/1666754670
用WordPress开发的网站,如果被黑,99%都是没有升级造成的。这既包含了主程序更新,也包括插件和主题更新
WP主程序一定要保持最新,这是个老生常谈的话题了。WP作为市场占有第一的CMS,是有无数黑产盯着的,但是WP又是升级更新最频繁的CMS,每个月都有小到0.0.1的版本号升级,有时候还有多次,多是给安全打补丁。这就形成了一个有趣的现象:
最不安全的CMS:旧版本的WordPress
最安全的CMS:最新版的WordPress
查看详细
我们去年有一个项目就是接手一个WordPress + Elementor做的企业站,而且是一家英国公司做的。客户嫌英国人后期服务响应太佛系,跟不上他们的需求,经过对我们工作室的一番了解后,就把网站全部包给我维护了。
原本我有个原则是不接烂尾项目,因为怕陷入“祖传代码”。不过看了下这个网站发现没有任何技术含量,除了一些css,英国人愣是一行自己的前后端代码都没写,所有的页面都是靠Elementor一格一格的“设置”出来的。加上客户付钱爽快,我就接下这活了。正好,用这个机会把整个网站都熟悉了一遍,了解了页面上每个模块是怎么通过后台,不写代码的实现出来的。这个网站给我的感受有两点,应该就是Elementor构建起的网站普遍的感受:
前端还好,这只是个企业展示站,用静态化+CDN优化下,普通用户访问速度还能接受。后端则是慢得很。当然我知道如果光用Elementor,这速度也不至于慢到不能接受,但尝试过多语言(WPML)+ Elementor的人应该不多吧? 这速度就能刷新我的承受下限了。WPML的大查询量+Elementor无数细碎的设置读取,对后台的影响是很成问题的。这个网站的数据量也一直在增加,因为速度变得不可维护的日子会越来越近。 查看详细
上个月写过一篇WordPress通过Rest API自定义附件上传接口,那篇文章主要介绍了如何打通前后端,利用Rest API保存“抓取”已知URL的文件。不过在更多的情况下,我们还是需要通过自己的表单上传文件。正好这个月有个项目,有个表单需要拖放文件到指定区域里,提交表单的时候上传文件。如果我用Gravity Forms给的文件上传域,它只有原生的点击选取本地的文件组件,并没有拖放选取文件的组件,所以这里就需要造一个轮子了。
先说结果,最后实现出来是这样子的:
文件拖到区域上方,区域会变色;拖入后区域内显示文件名,判断文件格式和尺寸是否合规;点击清除,会重置区域。
Meta Keywords,其实就是SEO页面基本3要素“TDK”中的最后一个“K” – Keywords。在页面上大致表现为这样一行代码:
<meta name="keywords" content="关键词1, 关键词2, 关键词3" /> |
其实TDK已经是一个过时的概念了,因为这个Keywords关键词在各大搜索引擎的作用已经被清零。所以在几年前,老牌的WordPress SEO插件Yoast SEO就已经取消了对页面上Meta Keywords的支持,具体为什么,可以移步看一下这篇文章:https://yoast.com/meta-keywords/
并且,Yoast连相关的钩子都去掉了,见这里:https://github.com/Yoast/wordpress-seo/issues/8775
但是我们国内建站行业中,有很多半吊子的SEOer,仍然把TDK这个概念奉为圭臬;也有一些网站站长自作聪明,动不动就在页面上堆砌十几个关键词。而我们用最好的SEO插件Yoast SEO,因为早已经摒弃了这个设置,所以是无法给页面添加Meta Keywords的。那么在无法说服这些客户的情况下,如何给页面添加这些关键字呢?我还是琢磨出了一点办法。 查看详细
WordPress+WPML多语言网站中,如果用get_posts / WP_Query这这些方法返回文章,默认都会返回当前页面所在的语言的文章。如果要跳出当前页面指定的语言,或者如果当前页面并不在WPML管理下,没有指定语言,那么get_posts / WP_Query默认返回的是网站默认语言的文章。
假如我们网站默认语言是英语,但还有第二种语言是中文,我想在英语的页面只显示中文文章,WPML有一个快捷办法:
global $sitepress; $lang = "zh-hans"; $sitepress->switch_lang( $lang ); |
通过$sitepress->switch_lang方法,可以切换当前页面的默认循环语言。
有了这个方法,我们也可以在WP的Ajax接口中切换语言了。本文记录一个通过Ajax接口获取文章的范例。 查看详细
本人深度使用WordPress开发网站、微信小程序加起来有七八年了,用WP完成的项目上百个。说一下我对主机的选择。
分两种情况,中国大陆内(需要备案),中国大陆外(含港澳台,不备案)。
只推荐阿里云。我曾用过新网、微软Azure(国内叫做世纪互联)、阳光互联、网宿 这几家的云主机。本人直观感受,这几家和阿里云比,都是××。
国内建站选主机服务商,主要考虑的事情有3点:
1. 备案平台方便高效;
2. 云端网站后台功能全,用户体验合理;
3. 主机运行稳定。
备案一直是小白站长头疼的事。且现在备案的确越来越麻烦,如果你选其他云服务商,且你是个新手没有经历过备案,其备案流程和操作能让你恶心很长时间。迫于管局的压力,阿里云的备案现在也在收紧限制,从以前的随便申请,到现在一台ECS必须买3个月才能提供5个备案名额,且流程每年都在加长。但是阿里云自身服务规范且非常高效,其备案流程真的完胜国内任何一家其他服务商,没有例外。
云端网站后台功能,阿里云是最全的,在国内也没有例外。这个东西是基础建设,需要巨大的投入,比得是公司实力,这一点目前就没有任何一家能和阿里云相比了。你去新网、电信云、或者任何一家其他的提供云服务的网站注册一下看看,和阿里云比真的让人失去使用愿望。不过我也去腾讯云看过,虽然后起,但毕竟背靠大厂,而且有微信小程序生态圈的加持,腾讯云其实可以作为第二选择,以后能不能赶超阿里云,还不好说。 查看详细
有没有想过用WordPress来建立自己的文件存储空间,当作自己的网盘使用?这个业务实现的主要逻辑其实就是自己写一个Rest API接口上传文件到WP的媒体库中。
首先我们需要安装一个插件,这个插件很小,只是给网站后台登录提供Basic认证,并不是用来拓展业务接口的。开通了Basic认证方式,我们才有途径获得使用Rest API更新网站内容的权限,否则Rest API只提供读取权限。插件名称叫做JSON Basic Authentication,官方下载地址:https://github.com/WP-API/Basic-Auth
要做接口,就先创建endpoint。这次我创建两个,一个是用来转存网上的文件的,一个是用来自己上传文件的。
add_action( 'rest_api_init', function () { //如果你不打算把文件存到WP默认的位置,这是修改位置的钩子 add_filter( 'upload_dir', 'brain1981_upload_dir'); //转存 register_rest_route( 'brain1981/v1', '/catch/', array( 'methods' => 'POST', 'callback' => 'brain1981_api_post_catch', ) ); //上传 register_rest_route( 'brain1981/v1', '/stream/', array( 'methods' => 'POST', 'callback' => 'brain1981_api_post_stream', ) ); }); |
我一直认为Google reCAPTCHA是最好的表单验证插件,没有之一。
Gravity Forms作为WordPress界最强的表单插件之一,也提供了免费的表单验证功能,它接入的也是Google reCAPTCHA,可惜国内用户是无法直接使用的。因为谷歌API在原有域名下均已被阻断,但是部分有用的服务比如验证码、字体等,其实是有其他备用域名可以使用的,而Gravity Forms似乎并不太关心我们国内用户,所以就没有提供采用备用域名接口的选项,需要自己手动调整。 查看详细
近期阿里云的几台主机都到了续费时间,想着续费就顺便都升级一下硬件配置。升级了硬件配置就又免不了想把几台服务器的旧版环境也升级一下,又可以榨取一下性能,本篇就记录一下LNMP升级的操作。
首先我尝试LNMP官网的操作,把LNMP新版直接下载到本地,然后通过运行upgrade1.x-1.7.sh脚本升级。结果直接报错提示我缺少各种包。可能是漏了什么操作了,但是也实在没工夫去深入研究,所以改为尝试卸载旧版LNMP,重新安装新版。
卸载之前系统提示我一定要备份数据库,因为卸载LNMP会把MySQL连同数据都删掉。所以必须先把MySQL数据整个dump出来备份一下。
进入MySQL安装目录/usr/local/mysql/bin/,运行命令
mysqldump -uroot -p --all-databases > /home/backup2020.sql
这样就在home目录下生成了一个backup2020.sql备份文件,卸载LNMP不会把它删掉,可以放心操作后面的。 查看详细
更新于2020年5月2日:本文第一版有一些概念错误,现已修正
基于WordPress项目的开发中,经常会需要用到AJAX请求。相较于原生的前后端实现,WordPress其实提供了两种方法可以更便捷的实现AJAX。
这个方法是现在用的比较多的。原理是前端向“/wp-admin/admin-ajax.php”这个接口发送请求,这个接口会根据请求的action值来处理数据。而根据不同的action值,利用钩子“wp_ajax_nopriv_[action]”和“wp_ajax_[action]”去编写自己的程序处理和返回数据。
如果是要写数据,先在页面生成nonce:
1 | $xprofile_nonce = wp_create_nonce ('xprofile_nonce'); |