只是稍微改一下，就可以保护模板文件了。呵呵。附件就是模板文件，这下就没有人能盗了吧。

CSS就没办法了，毕竟有浏览器缓存。。保护了也照样可以拿到。

wordpress 2.1.2 以及之前的版本

今天看了看wordpress模板的机制，发现存在了漏洞。大家可以认为这个漏洞不要紧。但是配合其他漏洞可以拿下WEB空间。权限允许可以拿下主机。

好久没有写漏洞的文章了，忘记格式了，呵呵，随便写写。

wordpress的模板文件，缺少访问验证，直接访问模板里的文件，就会泄露物理路径。这个不是PHP漏洞，是WordPress的漏洞。

比如访问:http://hostname/wordpress/wp-content/themes/default

就会显示:

Fatal error: Unknown function: get_header() in /home/public_html/yz/wp-content/themes/default/index.php on line 1

解决办法

在模板里的文件头部加上以下代码，可以防止泄露路径。

<?php
if(!defined('WP_USE_THEMES')) {
    exit('Access Denied');
}
?>

今天看到源子妹妹的BLOG，看到她老师说迟到3次算一次旷课。

让我想起以前初中和高中的时候，班主任也说过迟到3次算一次旷课，现在想起来，到底是什么逻辑？现在。。

对男班主任我多么想说：我碰你3次算不算打你？
对女班主任我多么想说：我吃你3次豆腐算不算日你？

概念都不一样。算什么算？现在的老师总是仗着自己是老师，完全把学生当弱智？学生哥学生妹们，等你们毕业出来回头看看，其实老师也就那么回事。很多东西都是狗屁歪理。

今天抽时间改写了一下trackback功能，并重新开放。

各位向我开炮。测试一下新的Trackback功能是否正常啊。。呵呵。。

如果朋友的文章写了有几天了。我才看到。想发个trackback过去，怎么办呢？发不了？

我看到很多BLOG都是1天Trackback就失效。那还开这个功能做什么啊？？