WordPress起源

诞生背景：2023年

WordPress诞生于2003年5月27日，由 Matt Mullenweg 和 Mike Little 共同创建。它最初是从一个名为 b2/cafelog 的博客系统分支（fork）而来。当时，博客文化刚刚兴起，但现有的博客工具要么过于复杂，要么缺乏扩展性。

Matt Mullenweg 当时还是休斯顿大学的学生，因为 b2/cafelog 停止更新而决定自己开发一个更好的博客平台。

从一开始 WordPress 就采用GPL（GNU通用公共许可证）开源协议，这奠定了 WordPress 社区驱动发展的基础。第一个版本的WordPress 0.7版本只有几千行PHP代码，功能简单但已具备基本的博客功能。

快速成长期：2004年-2008年

这一时期WordPress从简单的博客工具逐步演变为功能完整的CMS。

2004年：发布WordPress 1.2版本，引入插件架构（Plugin Architecture），插件系统的引入是WordPress历史上最重要的里程碑之一，让第三方开发者能够扩展功能。

2005年：发布WordPress 1.5版本，引入主题系统（Theme System），Matt Mullenweg创立Automattic公司，开始提供WordPress.com托管服务，这是WordPress商业化的开始，也形成了.org（开源）和.com（商业）的双轨模式。

2007年：发布WordPress 2.1版本，引入自动保存和拼写检查功能，用户界面大幅改进，开始注重用户体验。

2008年：发布WordPress 2.5版本，后台界面重新设计（Happy Cog设计团队参与），引入"一键更新"功能，大幅降低维护成本。

成熟与统治期：2009年-2017年

WordPress在这一时期确立了CMS市场的统治地位。

2010年：发布WordPress 3.0版本，引入自定义文章类型（Custom Post Types）和自定义菜单，合并WordPress MU（多站点版本），支持多站点网络（Multisite）。这使WordPress不再局限于博客，可以构建各种类型的网站。

2013年：市场份额首次突破20%，WooCommerce插件快速崛起，WordPress开始大规模进军电商领域。

2015年：发布WordPress 4.2版本，支持Emoji表情，REST API开始整合进核心代码，为"Headless WordPress"铺路。

2017年：市场份额达到29%，WordPress官方宣布新一代编辑器Gutenberg开发计划。

区块编辑器时代：2018年-至今

2018年12月：WordPress 5.0发布，引入Gutenberg区块编辑器（Block Editor），这是WordPress历史上最大的一次界面变革，引发社区激烈讨论，传统的TinyMCE编辑器被新的区块编辑器取代。

2020年：市场份额突破38%，WordPress成为中小企业数字化转型的首选工具。

2022年：发布WordPress 5.9版本，引入全站编辑（Full Site Editing），用户可以通过可视化界面编辑整个网站，不仅仅是内容区域，区块主题（Block Themes）成为新趋势。

2023年：WordPress 6.2版本发布，持续完善全站编辑功能，市场份额稳定在43%左右，远超第二名的竞争对手。

2025年：WordPress继续保持市场领先地位，AI功能开始整合进编辑器和插件生态，性能优化成为核心关注点（Core Web Vitals）。

WordPress里程碑

WordPress为什么能够成功

大家都知道WordPress在建站领域那是相当的受欢迎，可是很多人不太清楚它到底好在哪里。其实WordPress最大的优势就是背后有全球数百万开发者在贡献代码和插件，大家可以想想，当我们使用WordPress的时候，我们背后站着全世界最优秀的开发者们在不断完善它，而且因为是开源的，我们完全不用担心被某个公司绑架，那么我们自然就能享受到这种自由和持续进化的好处，难道不是吗？

很多人可能会说：可是我不懂技术怎么办？那么请你不要担心，WordPress只需要5分钟安装，操作界面都是可视化的，就算完全不懂代码也能轻松管理我们的网站。同时我们还有超过6万个免费插件和1万多个免费主题可以用，想要什么功能直接搜索安装就行了，明摆着能省下大量开发成本。更重要的是，WordPress的灵活性那是相当的强，从博客到电商、从企业官网到会员系统都能实现，而且它的代码结构天然对搜索引擎友好，再加上每年多次更新紧跟技术趋势，那么我们选择的就是一个能够陪伴我们长期发展的平台。

总结一下，其实就是下面几大原因：开源社区驱动、低门槛、生态系统丰富、SEO友好、灵活扩展、持续创新。

很多WordPress新手在建独立站时都会遇到一个困惑：WordPress.org和WordPress.com到底怎么选？这两个看似相似的平台，实际上有着本质的不同。选错平台可能会让你在建站后期面临功能限制、成本增加甚至需要整站迁移的困境。

本文对比WordPress.org和WordPress.com，帮助你根据自己的需求做出正确选择。

什么是WordPress.org

WordPress.org，也就是自托管WordPress，是一个完全免费的开源内容管理系统（CMS）。你可以从 WordPress.org 下载软件包，然后安装在自己购买的服务器或主机上。

大家都知道，WordPress具体有以下特点：

• 完全免费开源：软件100%免费，遵循GPL许可协议

• 完全自主控制：拥有网站的完整控制权和所有权

• 几乎无限制扩展：可以安装任何主题和插件

当然，有优点，那就有缺点，就是我们需要自己处理主机、域名、维护等技术事务。

因此，WordPress.org适合拥有以下需求的用户：

• 希望完全掌控网站的企业和个人

• 需要自定义功能和设计的用户

• 有一定技术基础或愿意学习的用户

• 追求长期SEO效果的内容创作者
  当然，结合 WooCommerce 等插件，还适用于计划做电商或复杂业务的企业或个人。

什么是WordPress.com

WordPress.com是由 Automattic 公司运营的商业化 WordPress 托管服务平台。它基于 WordPress.org 的开源代码，但提供的是一站式托管解决方案，类似于 凡科建站 或 有赞等。

他有以下特点：
主机、域名、安全等都由平台提供，不懂技术或不愿意折腾的人，无需担心技术维护和更新。但是呢，类似于 凡客建站 或 有赞 等平台，免费或低价版会有诸多的限制，从长远来看，你购买他的企业版或高级版，整体费用可能远远高于自建的费用。

因此，WordPress.com适合以下用户使用：

• 纯粹的个人博客或兴趣分享

• 完全不想接触技术的用户

• 临时或测试性质的网站

• 预算极其有限且需求简单的个人用户

成本对比

WordPress.org成本结构

成本特点：

• 初期投入较高，但长期成本可控

• 可以根据预算灵活选择配置

• 随着网站增长可以逐步升级

• 没有强制续费

WordPress.com成本结构

成本特点：

• 免费版限制多，实用性差

• 想要基本功能至少需要Business版（¥320/月 = ¥3,840/年）

• 长期成本远高于WordPress.org

• 按年订阅，停止付费网站即停止运行

根据以上2个表格以及我们总结的成本特点：
短期内，也就是1年内，WordPress.com免费版成本更低，但功能受限。
中期内，也就是1-3年左右，WordPress.org成本优势明显。
长期，也就是3年及以上，WordPress.org成本可能只有WordPress.com的1/5。

看到这里，相信你心里已经有了决断了，简单来说，WordPress.org = 买房，WordPress.com = 租房。如果你想认真做一个网站，后期考虑盈利等首选 WordPress.org，如果你只是简单的想记录生活，并且完全不想学任何技术，且对盈利没有要求，那么首选 WordPress.com。

想要真正掌握WordPress，仅仅会安装和使用后台是远远不够的。理解WordPress的核心架构和工作原理，不仅能帮助我们更高效地使用WordPress，还能让我们在遇到问题时快速定位本质原因，甚至开发自己想要的主题和插件。

本文将带你深入WordPress，揭开这个全球最流行CMS系统的运行机制。无论你是想进阶的WordPress用户，还是准备进行主题/插件开发的开发者，这篇文章都将为你打下坚实的基础。

WordPress核心架构概览

WordPress采用经典的三层架构设计，如下图所示：

表现层（Presentation Layer）：
Themes，也就是大家说的主题，控制着网站外观，里面包含模板文件、css、JavaScript、图片等。
逻辑层 (Business Layer)：
WordPress Core（核心）：是核心功能代码，包含管理后台、API接口、Hook系统等。
Plugins：也就是我们说的插件，是扩展功能，通过Hook与核心交互。
数据层 (Data Layer)：
这个很好理解，就是存储数据的地方，是MySQL或MariaDB数据库，默认12张核心表。

WordPress文件结构

理解WordPress的文件结构也是非常必要的，下面是WordPress文件结构：

wordpress/
├── wp-admin/              # 后台管理界面
│   ├── admin.php         # 后台核心文件
│   ├── admin-ajax.php    # AJAX处理
│   ├── includes/         # 后台功能函数
│   └── ...
│
├── wp-content/           # 用户内容目录（可自定义）
│   ├── plugins/          # 插件目录
│   ├── themes/           # 主题目录
│   ├── uploads/          # 上传文件目录
│   ├── languages/        # 语言文件
│   └── upgrade/          # 升级缓存
│
├── wp-includes/          # 核心库文件（不可修改）
│   ├── functions.php     # 核心函数库
│   ├── class-*.php       # 核心类文件
│   ├── js/               # 核心JavaScript
│   ├── css/              # 核心样式
│   ├── rest-api/         # REST API
│   └── ...
│
├── index.php             # 前台入口文件
├── wp-blog-header.php    # 加载WordPress环境
├── wp-load.php           # 引导加载程序
├── wp-config.php         # 配置文件（重要！）
├── wp-settings.php       # 核心设置和初始化
├── wp-login.php          # 登录页面
├── wp-cron.php           # 定时任务
├── xmlrpc.php            # XML-RPC接口
└── ...

下面，我们对于一些关键的文件简单的说明下。

配置核心文件wp-config.php，它包含数据库、安全密钥等配置信息。

// 数据库配置
define('DB_NAME', 'database_name');
define('DB_USER', 'username');
define('DB_PASSWORD', 'password');
define('DB_HOST', 'localhost');

// 安全密钥
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');

// 数据表前缀
$table_prefix = 'wp_';

// 调试模式
define('WP_DEBUG', false);

// WordPress绝对路径
if (!defined('ABSPATH')) {
    define('ABSPATH', __DIR__ . '/');
}

前台入口文件：index.php，它是网站前台的入口文件

引导程序文件：wp-load.php，它负责加载WordPress环境。

WordPress数据库结构

WordPress使用MySQL数据库存储所有数据，默认包含12张核心表：

1. 内容相关（5张表）

wp_posts（文章/页面表） - 核心内容表

主要字段：
ID: 文章ID（主键）
post_author: 作者ID
post_date: 发布日期
post_content: 文章内容
post_title: 文章标题
post_status: 状态（publish/draft/private等）
post_type: 类型（post/page/attachment等）
post_name: URL别名（slug）

wp_postmeta（文章元数据表）

主要字段：
meta_id: 元数据ID（主键）
post_id: 关联的文章ID
meta_key: 元数据键
meta_value: 元数据值

wp_comments（评论表）

主要字段：
comment_ID: 评论ID（主键）
comment_post_ID: 关联文章ID
comment_author: 评论者姓名
comment_content: 评论内容
comment_approved: 审核状态

wp_commentmeta（评论元数据表）

主要字段：
meta_id: 元数据ID
comment_id: 关联评论ID
meta_key: 键
meta_value: 值

wp_terms, wp_term_taxonomy, wp_term_relationships（分类法相关3张表）

wp_terms: 存储分类/标签的名称
wp_term_taxonomy: 存储分类法类型（category/tag等）
wp_term_relationships: 文章与分类的关联关系

2. 用户相关（2张表）

wp_users（用户表）

主要字段：
ID: 用户ID（主键）
user_login: 登录名
user_pass: 密码（加密）
user_email: 邮箱
user_registered: 注册时间

wp_usermeta（用户元数据表）

主要字段：
umeta_id: 元数据ID
user_id: 用户ID
meta_key: 键（如：nickname, capabilities等）
meta_value: 值

3. 配置相关（1张表）

wp_options（配置选项表）

主要字段：
option_id: 选项ID
option_name: 选项名称（如：siteurl, blogname等）
option_value: 选项值
autoload: 是否自动加载（yes/no）

存储站点的所有配置信息，包括：网站标题、URL、主题、插件设置、定时任务、。临时数据

WordPress请求处理流程

当我们访问WordPress网站时，系统经历以下处理流程：

用户请求（HTTP Request）
    ↓
1. index.php（入口）
    ↓
2. wp-blog-header.php
    ↓
3. wp-load.php（加载WordPress）
    ↓
4. wp-config.php（读取配置）
    ↓
5. wp-settings.php（初始化）
    ↓
6. 加载核心库（wp-includes/）
    ↓
7. 连接数据库
    ↓
8. 加载激活的插件
    ↓
9. 加载当前主题的functions.php
    ↓
10. 执行'init' action hook
    ↓
11. 解析URL（Query Parsing）
    ↓
12. 查询数据库（WP_Query）
    ↓
13. 加载模板文件（Template Loader）
    ↓
14. 执行模板中的代码
    ↓
15. 输出HTML
    ↓
HTTP响应返回给用户

WordPress Hook系统

Hook系统是WordPress架构中最重要的机制，它使WordPress具有强大的扩展性。
Hook（钩子） 允许在WordPress运行的特定时刻插入自定义代码，无需修改核心文件。

两种Hook类型：

Action Hooks（动作钩子）

• 在特定时刻执行代码

• 不返回值

• 用于添加功能

Filter Hooks（过滤钩子）

• 修改数据后返回

• 必须返回值

• 用于修改内容

完整的Hook执行时间线：

1. muplugins_loaded       - Must-Use插件加载后
2. plugins_loaded         - 普通插件加载后
3. setup_theme            - 主题设置前
4. after_setup_theme      - 主题设置后
5. init                   - WordPress初始化
6. wp_loaded              - WordPress完全加载
7. parse_request          - 解析请求
8. send_headers           - 发送HTTP头
9. pre_get_posts          - 查询前（重要！）
10. wp                    - 查询完成
11. template_redirect     - 模板加载前
12. wp_head               - 头部区域
13. wp_footer             - 底部区域
14. shutdown              - 关闭前

WordPress模板系统

模板层次结构

WordPress使用模板层次系统来决定使用哪个模板文件：

首页：
front-page.php → home.php → index.php

博客首页：
home.php → index.php

单篇文章：
single-{post-type}-{slug}.php
→ single-{post-type}.php
→ single.php
→ singular.php
→ index.php

页面：
{custom-template}.php (页面模板)
→ page-{slug}.php
→ page-{id}.php
→ page.php
→ singular.php
→ index.php

分类归档：
category-{slug}.php
→ category-{id}.php
→ category.php
→ archive.php
→ index.php

标签归档：
tag-{slug}.php
→ tag-{id}.php
→ tag.php
→ archive.php
→ index.php

自定义文章类型归档：
archive-{post-type}.php
→ archive.php
→ index.php

作者页面：
author-{nicename}.php
→ author-{id}.php
→ author.php
→ archive.php
→ index.php

日期归档：
date.php → archive.php → index.php

搜索结果：
search.php → index.php

404页面：
404.php → index.php

模板文件组成

标准主题必备文件：

mytheme/
├── style.css           # 主题样式表（必需，包含主题信息）
├── index.php           # 主模板（必需）
├── functions.php       # 主题功能文件
├── header.php          # 头部模板
├── footer.php          # 底部模板
├── sidebar.php         # 侧边栏模板
├── single.php          # 单篇文章模板
├── page.php            # 页面模板
├── archive.php         # 归档模板
├── category.php        # 分类模板
├── search.php          # 搜索结果模板
├── 404.php             # 404错误页面
├── comments.php        # 评论模板
└── screenshot.png      # 主题缩略图

模板标签（Template Tags）

WordPress提供丰富的模板标签用于输出内容：

// 文章相关
the_title();          // 输出标题
the_content();        // 输出内容
the_excerpt();        // 输出摘要
the_permalink();      // 输出链接
the_author();         // 输出作者
the_date();           // 输出日期
the_category();       // 输出分类
the_tags();           // 输出标签

// 获取型（不直接输出）
get_the_title();
get_the_content();
get_permalink();

// 网站信息
bloginfo('name');           // 网站名称
bloginfo('description');    // 网站描述
bloginfo('url');           // 网站URL

// 主题相关
get_template_directory_uri();  // 主题目录URL
get_stylesheet_uri();          // 样式表URL

// 导航菜单
wp_nav_menu([
    'theme_location' => 'primary',
    'menu_class' => 'nav-menu'
]);

// 侧边栏
dynamic_sidebar('sidebar-1');

WordPress Loop（循环）

The Loop 是WordPress的核心模板机制：

<?php
// 标准循环
if (have_posts()) {
    while (have_posts()) {
        the_post(); // 关键：设置当前文章数据
        
        // 输出文章内容
        ?>
        <article id="post-<?php the_ID(); ?>" <?php post_class(); ?>>
            <h2><a href="<?php the_permalink(); ?>"><?php the_title(); ?></a></h2>
            <div class="meta">
                发布于：<?php the_date(); ?> 
                作者：<?php the_author(); ?>
            </div>
            <div class="content">
                <?php the_excerpt(); ?>
            </div>
        </article>
        <?php
    }
} else {
    echo '<p>没有找到文章</p>';
}
?>

自定义循环（WP_Query）：

<?php
$custom_query = new WP_Query([
    'post_type' => 'post',
    'posts_per_page' => 5,
    'category_name' => 'news'
]);

if ($custom_query->have_posts()) {
    while ($custom_query->have_posts()) {
        $custom_query->the_post();
        
        the_title();
        the_content();
    }
    wp_reset_postdata(); // 重要：重置文章数据
}
?>

WordPress插件系统

插件工作原理

插件通过Hook系统与WordPress核心交互，无需修改核心代码即可扩展功能。

插件基本结构

最简单的插件：

<?php
/**
 * Plugin Name: 我的第一个插件
 * Plugin URI: https://example.com/my-plugin
 * Description: 这是一个示例插件
 * Version: 1.0.0
 * Author: 张三
 * Author URI: https://example.com
 * License: GPL v2 or later
 * Text Domain: my-plugin
 */

// 防止直接访问
if (!defined('ABSPATH')) {
    exit;
}

// 插件功能代码
add_action('wp_footer', function() {
    echo '<p>这是插件添加的内容</p>';
});

插件加载流程

1. WordPress读取 wp-content/plugins/ 目录
2. 扫描所有PHP文件的插件头注释
3. 在后台显示插件列表
4. 激活插件时，将插件路径存入数据库（wp_options）
5. 每次请求时，加载激活的插件
6. 执行插件中的代码

WordPress API系统

WordPress提供多种API来简化开发：

1. Options API（选项API）

管理网站配置和插件设置：

// 添加选项
add_option('my_option', 'default_value');

// 获取选项
$value = get_option('my_option', 'default');

// 更新选项
update_option('my_option', 'new_value');

// 删除选项
delete_option('my_option');

// 自动加载选项（提高性能）
add_option('my_option', 'value', '', 'yes'); // 最后参数控制autoload

2. Settings API（设置API）

创建标准化的设置页面：

// 注册设置
register_setting('my_options_group', 'my_option_name');

// 添加设置区域
add_settings_section('my_section_id', '设置标题', 'callback', 'my-page');

// 添加设置字段
add_settings_field('my_field_id', '字段标签', 'callback', 'my-page', 'my_section_id');

// 输出设置表单
settings_fields('my_options_group');
do_settings_sections('my-page');

3. Transients API（缓存API）

临时存储数据，带过期时间：

// 设置缓存（12小时）
set_transient('my_cache_key', $data, 12 * HOUR_IN_SECONDS);

// 获取缓存
$data = get_transient('my_cache_key');
if (false === $data) {
    // 缓存不存在或已过期，重新获取数据
    $data = expensive_function();
    set_transient('my_cache_key', $data, 12 * HOUR_IN_SECONDS);
}

// 删除缓存
delete_transient('my_cache_key');

4. HTTP API（HTTP请求API）

发送HTTP请求：

// GET请求
$response = wp_remote_get('https://api.example.com/data');
if (!is_wp_error($response)) {
    $body = wp_remote_retrieve_body($response);
    $data = json_decode($body);
}

// POST请求
$response = wp_remote_post('https://api.example.com/submit', [
    'body' => [
        'key1' => 'value1',
        'key2' => 'value2'
    ]
]);

// 自定义请求
$response = wp_remote_request('https://api.example.com/endpoint', [
    'method' => 'PUT',
    'headers' => [
        'Authorization' => 'Bearer token'
    ],
    'body' => json_encode($data)
]);

5. REST API

WordPress 4.7+内置REST API：

// 注册自定义端点
add_action('rest_api_init', function() {
    register_rest_route('myplugin/v1', '/data', [
        'methods' => 'GET',
        'callback' => 'my_api_callback',
        'permission_callback' => '__return_true'
    ]);
});

function my_api_callback() {
    return [
        'message' => 'Hello from API',
        'data' => ['key' => 'value']
    ];
}

// 访问：https://example.com/wp-json/myplugin/v1/data

使用REST API获取文章：

// 前端JavaScript调用
fetch('https://example.com/wp-json/wp/v2/posts?per_page=5')
    .then(response => response.json())
    .then(data => console.log(data));

6. Rewrite API（URL重写API）

自定义URL结构：

// 添加重写规则
add_action('init', function() {
    add_rewrite_rule(
        '^products/([^/]+)/?$',
        'index.php?product_slug=$matches[1]',
        'top'
    );
});

// 添加查询变量
add_filter('query_vars', function($vars) {
    $vars[] = 'product_slug';
    return $vars;
});

// 刷新重写规则（仅在插件激活时执行）
register_activation_hook(__FILE__, function() {
    flush_rewrite_rules();
});

7. Shortcode API（短代码API）

创建可在内容中使用的短代码：

// 注册短代码
add_shortcode('button', 'button_shortcode');

function button_shortcode($atts, $content = null) {
    $atts = shortcode_atts([
        'color' => 'blue',
        'size' => 'medium',
        'url' => '#'
    ], $atts);
    
    return sprintf(
        '<a href="%s" class="button %s %s">%s</a>',
        esc_url($atts['url']),
        esc_attr($atts['color']),
        esc_attr($atts['size']),
        esc_html($content)
    );
}

// 使用：[button color="red" size="large" url="/contact"]点击这里[/button]

WordPress性能优化原理

缓存机制

1. 对象缓存（Object Cache）

// WordPress内置对象缓存
wp_cache_set('my_key', $data, 'my_group', 3600);
$data = wp_cache_get('my_key', 'my_group');

// 配合Redis/Memcached（需要插件）
// 可以将对象缓存持久化到内存数据库

2. 页面缓存（Page Cache）

用户请求 → 检查缓存 → 有缓存：直接返回HTML
                    → 无缓存：执行WordPress → 生成HTML → 存入缓存 → 返回

实现方式：

• 插件：WP Rocket, W3 Total Cache, LiteSpeed Cache

• 服务器级：Nginx FastCGI Cache, Varnish

3. 数据库查询缓存

// 使用Transients缓存查询结果
$key = 'recent_posts_' . md5(serialize($args));
$posts = get_transient($key);

if (false === $posts) {
    $posts = new WP_Query($args);
    set_transient($key, $posts, HOUR_IN_SECONDS);
}

延迟加载（Lazy Loading）

WordPress 5.5+默认支持图片延迟加载：

<!-- 自动添加 loading="lazy" -->
<img src="image.jpg" loading="lazy" alt="...">

数据库优化

// 限制文章修订版本
define('WP_POST_REVISIONS', 3);

// 设置自动保存间隔（秒）
define('AUTOSAVE_INTERVAL', 300);

// 清空回收站天数
define('EMPTY_TRASH_DAYS', 7);

// 禁用文章修订
define('WP_POST_REVISIONS', false);

WordPress安全机制

数据验证和清理

// 输入验证
$email = sanitize_email($_POST['email']);
$text = sanitize_text_field($_POST['text']);
$url = esc_url($_POST['url']);
$html = wp_kses_post($_POST['content']); // 允许部分HTML

// 输出转义
echo esc_html($text);           // 转义HTML
echo esc_url($url);             // 转义URL
echo esc_attr($attribute);      // 转义HTML属性
echo esc_js($javascript);       // 转义JavaScript

Nonce验证（防CSRF攻击）

// 生成nonce
$nonce = wp_create_nonce('my_action');

// 在表单中使用
<form method="post">
    <?php wp_nonce_field('my_action', 'my_nonce'); ?>
    <input type="submit" value="提交">
</form>

// 验证nonce
if (isset($_POST['my_nonce']) && wp_verify_nonce($_POST['my_nonce'], 'my_action')) {
    // 验证通过，处理表单
} else {
    die('安全验证失败');
}

权限检查

// 检查用户权限
if (!current_user_can('manage_options')) {
    wp_die('您没有权限访问此页面');
}

// 常用权限等级
// read - 读者
// edit_posts - 作者
// publish_posts - 作者
// edit_pages - 编辑
// edit_others_posts - 编辑
// manage_options - 管理员

SQL注入防护

global $wpdb;

// 错误做法（有SQL注入风险）
$results = $wpdb->get_results("SELECT * FROM $wpdb->posts WHERE ID = " . $_GET['id']);

// 正确做法（使用prepare）
$results = $wpdb->get_results($wpdb->prepare(
    "SELECT * FROM $wpdb->posts WHERE ID = %d",
    $_GET['id']
));

// 占位符
// %s - 字符串
// %d - 整数
// %f - 浮点数

WordPress Cron（定时任务）

WP-Cron工作原理

WordPress的Cron不是真正的系统Cron，而是基于访问触发：

用户访问网站 → 检查是否有到期任务 → 执行任务

创建定时任务

// 注册定时任务
add_action('my_custom_cron_hook', 'my_cron_function');

function my_cron_function() {
    // 执行的任务
    $posts = get_posts(['numberposts' => 10]);
    // 发送邮件通知等
}

// 调度任务（仅在未调度时执行）
if (!wp_next_scheduled('my_custom_cron_hook')) {
    wp_schedule_event(time(), 'hourly', 'my_custom_cron_hook');
}

// 取消调度
wp_clear_scheduled_hook('my_custom_cron_hook');

自定义时间间隔

add_filter('cron_schedules', function($schedules) {
    $schedules['every_five_minutes'] = [
        'interval' => 300,
        'display' => '每5分钟'
    ];
    return $schedules;
});

// 使用自定义间隔
wp_schedule_event(time(), 'every_five_minutes', 'my_custom_cron_hook');

使用真正的系统Cron

// 在wp-config.php中禁用WP-Cron
define('DISABLE_WP_CRON', true);

// 在服务器设置Cron任务
// */5 * * * * wget -q -O - https://example.com/wp-cron.php?doing_wp_cron >/dev/null 2>&1

WordPress多站点架构（Multisite）

多站点工作原理

WordPress Multisite允许在一个WordPress安装中运行多个网站：

单一WordPress安装
    ├── 站点1 (site1.example.com)
    ├── 站点2 (site2.example.com)
    └── 站点3 (site3.example.com)

数据库结构变化

启用多站点后，数据库结构变化：

wp_blogs              # 站点列表
wp_blogmeta           # 站点元数据
wp_site               # 网络信息
wp_sitemeta           # 网络元数据

每个站点独立的表：
wp_2_posts            # 站点2的文章表
wp_2_postmeta
wp_2_options
wp_3_posts            # 站点3的文章表
...

共享的表：
wp_users              # 所有站点共享用户
wp_usermeta

启用多站点

// 在wp-config.php中添加
define('WP_ALLOW_MULTISITE', true);

// 配置后添加
define('MULTISITE', true);
define('SUBDOMAIN_INSTALL', false); // false=子目录, true=子域名
define('DOMAIN_CURRENT_SITE', 'example.com');
define('PATH_CURRENT_SITE', '/');
define('SITE_ID_CURRENT_SITE', 1);
define('BLOG_ID_CURRENT_SITE', 1);

理解WordPress的核心架构和工作原理，是从"使用者"进阶到"掌控者"的关键一步。

WordPress的强大不仅在于其开箱即用的功能，更在于其优雅的架构设计。Hook系统、模板层次、API体系，这些看似复杂的机制，实际上都是为了实现一个目标：让WordPress可以被无限扩展，而不需要修改核心代码。

这就是WordPress能成为全球43%网站选择的根本原因：它不仅是一个CMS，更是一个灵活、强大、可扩展的Web应用框架。