随身笔记

博客

  • 数据库插马漏洞及防范对策

    数据库插马缝隙一直是网络安全之盲点,确实,此缝隙难以防备,简直即是关于将.mdb换成.asp这种防备数据库下载的方法。
    这种招式简直一击丧命,不管你网站防备有多么紧密,插马下去,对手看似牢不可破的防地将刹那间溃散。可见其杀伤力之大。数据库插马这种方法简直与网络遍及兴 起的mdb转asp的数据库防护方法同步。mdb转asp的方法尽管有用,实在处理了数据库被下载的疑问,但它又带来了新的疑问,那即是asp格局的数据 库被插马的危险添加。
    如今的数据库插马都依照以下过程进行:
    1.踩点,对方针网站进行全方位的扫描,判别该网站有无将数据写入数据库的操作,而且是不是为asp格局;
    2.变换,通常是将一句话木马变换为unicode格局;
    3 .插马,将unicode格局的一句话木马想办法刺进到数据库傍边,通常是使用一些防写入程序自身的缝隙来进行插马;
    4.操控,使用刺进的一句话木马操控方针机。
    说到这儿,恐怕有人想问个为何。数据库插马为何会这么凶猛,它的原理是什么呢?
    现代网管为避免网站数据库被下载,走漏灵敏信息。他们通常都会将本来的mdb数据库格局更改为asp格局,由于mdb不会被浏览器所解析只会被作为通常文件下载,asp尽管也不被浏览器所解析,可是asp是一种服务器端解析的言语,浏览器的地址栏上尽管显现为asp可是此刻的asp已被服务器端解析成了html代码,因而不会被下载。那么数据库被改成asp也 应该是数据库啊,怎么会成为杀伤力如此无穷的asp马呢?那是由于数据库自身是由unicode码构成的,变换为asp后就按asp去编译履行,可是本来 数据库并没有契合asp语法的代码,因而也就无法履行。可是unicode的一句话马插进去后就被asp引擎解析而且履行,成了将整个网站拱手送人的木 马。
    关于这种杀伤力极大的数据库插马当前没有一个适宜的处理办法,只能采纳一些预防性的办法,下面介绍一些:
    1.尽量不要有将数据提交给数据库的方法,若是非得有的话,那就将数据中的unicode代码变换为ansi的;
    2.保存mdb格局不要再变换为asp格局了,事实证明,这种方法并不牢靠。仍是改变一下数据库的途径而且改一个数据库的姓名吧。

  • 从安全做起打造wordpress高质量的网站

    wordpress是互联网占有量最大的开源网络渠道,不只版别更新及时,并且缝隙也很少,据统计,全球规模之内每过几分钟就有一个wordpress网站发生,当然与此同时也有部分网站跟着时刻的消逝不见。

    笔者从知道wordpress到现在已经有五六年的时刻,在这时间用wordpress树立出了许多web网站,有成功的有失利的,但在过程中学习到了许多,最初自个一无所知的时分是个还在上高中的小弟弟经过网络手把手教我树立出了一个wordpress,所以在接下来的时刻里,我都带着一种感恩的心,平常有人问我疑问的时分我也会静下心来答复,大多数的新手兄弟对wordpress制造网站的流程不是很了解,所以笔者写出这篇文章,期望对刚刚入行的新人兄弟有用。

    网站域名以及服务器的挑选

    要打造高质量的网站,首选域名和服务器的挑选是开端路途的第一步,域名最好要契合网站内容,这儿咱们不思考搜索引擎优化的要素,挑选有深度的域名会让你将来的用户更简单记住网站,即便域名稍长也无所谓,比方一个朗朗上口的汉字拼音;服务器也是至关重要,之前看过不少文章说若是你的网站用户在5秒之内打不开,百分之九十的人会抛弃阅读直接封闭网站,所以主张我们仍是挑选国内的服务器。服务器和域名之间的解析相关请我们自行baidu,这儿不再鳌述。

    渠道的树立以及主题挑选

    wordpress树立有传说中的五分钟教程,也即是依照教程来做,五分钟之内就能树立好一个网站,当然,关于一个新手来说能够好几天都搞不明日,关于一个内行来说乃至不需求五分钟,两三分钟即可。若是了解了wordpress的五分钟教程,那么关于其他的一些blog体系或许cms体系,都是通用的。

    首要,你的空间需求撑持mysql数据库,在mysql数据库中树立你的数据库用户以及用户名,拿Cpanel控制面板来说,请看下图:

     

    数据库用户建立好之后,将wordpress上载到你的服务器上,并输入wordpress装置途径http://你的域名/wp-congfig.php,并输入有关数据库名,数据库用户名以及暗码,数据库地址和前缀通常不做改动,数据库前缀的效果即是为了区别你数据库中还有其他的标明,你也能够改成自个想要的,影响不大。

    网站搭建好之后,咱们最重要的是挑选模板,这也是wordpress这个开源程序最优异的一面,由于一切源代码敞开,使得更多的喜好者能够自个去写主题,也有大多数人将写好的主题敞开,招认挑选下载。wordpress主题是放在 根目录wp-contentthemes目录下,咱们能够将代码上载到此处,然后在后台–主题中就能够看到相应的主题。

    主题的不但美观就行,功用也很重要,最佳是挑选SEO功用写好的主题,主页、目录页、文章页面的三大标签都要有,别的一些附加的功用例如引荐阅览,留言版,读者墙等等,都是对将来网站运营起着很大的效果。

    网站的内容与网站的远景

    一个网站的成功与否,很大程序上取决于内容质量,笔者刚刚开始做网站的时分,一向没有中心主题,想到啥就发啥,致使网站内容乱,搜索引擎无法给网站定位,流量少,也没有固定的用户读者。

    想要打造高质量的内容,就必须存在很多的自创文章,这就取决于作为站长的你是不是在用心运营你的网站,将你的喜好与你的主题联系是对比靠谱的办法,在写出自创文章的一起也丰厚了自个的常识,何乐而不为呢?有些站长有时分还会纠结于每天的更新量,这点笔者却是觉得每天更新多少无所谓,乃至几天更新一篇文章也无所谓,只要是高质量的,就会有读者来看,就会有搜索引擎的重视。

  • WordPress免费模板安全隐患多你知道多少?

    WordPress是一款知名的,拥有大量用户的开源建站程序,因为用户量大,所以针对WordPress的第三方未知来源主题站和主题论坛也非常多。下载一个现成的主题,简单几步就安装好了,省去了网站UI设计开发的步骤,这是众多站长的选择。但值得提醒的是,360网站安全检测平台发现大量使用WordPress的站点被挂黑链和被入侵都与第三方主题和插件有关,大量WordPress主题中存在恶意代码。

     

    WordPress主题疑问多多,黑链是最常见疑问

    360网站安全检测渠道发如今很多WordPress主题中存在歹意黑链黑词,若是站长在不知情的状况下运用“黑主题”,就会被默许挂上很多的黑链黑词,会致使网站被搜索引擎降权等严重影响。而一些第三方插件更是隐藏后门程序,一旦装置就等于给黑客留出了一条四通八达的通道,可致使网站被篡改、被做肉鸡进犯别人等,面临网站打不开乃至法令危险。

    免费敞开网站卫兵,根绝侵略危险,抗ddos一起还能给网站加快

    面临很多的“黑主题”,主张广阔站长运用360网站安全检测进行网站体检,可将黑链黑词一扫而光。一起免费敞开网站卫兵,可有用根绝被侵略的危险,还能协助网站进行全国免费CDN加快,抗DDOS进犯等,一起提示我们尽量到官方论坛去下载第三方主题和插件。

    网站安全状况已经成为搜索引擎对一个站评级的重要规范,广阔站长要比以往愈加注重网站安全状况,才能将网站运营好。

  • wordpress小型质感门户主题ConcisePro

    ConcisePro是一款小型的wordpress门户主题,从演示站来看这款主题非常有质感,首页清雅的色调加上大幅的幻灯片很有视觉效果。经测试该主题功能齐全,内置菜单下拉、幻灯片、图片新闻、图片滚动、左侧评论滚动、文章目录等功能。后台功能十分强大,据说该款主题之前一直是收费主题,之后不知道因为什么原因免费开放了,目前完美兼容主流浏览器,请大家放心使用。

    下载地址

  • css背景图片固定悬浮

    利用css来控制背景图片固定悬浮,随着鼠标滚动而固定。

    其实利用css属性background中的一个属性值fixed就可以做到,例如:

    [code]body{ background:url(images/chu.jpg) no-repeat top center fixed;}[/code]