刘翔也开博了,刘翔独家官方博客!还是在腾讯开的,这小子跑得快!但是怎么现在才开博。
以后有空就去看看,人家明星是怎么写博客的,说到底不还一样,生活写照嘛,小时候写作文大家都怕,现在写博客个个比什么都积极,呵呵!
在这帮刘翔顶一下,给个链接了:http://liuxiang.qzone.qq.com/
时刻关注莆田外贸,专注莆田SEO动态,zen cart外贸网站建设
刘翔也开博了,刘翔独家官方博客!还是在腾讯开的,这小子跑得快!但是怎么现在才开博。
以后有空就去看看,人家明星是怎么写博客的,说到底不还一样,生活写照嘛,小时候写作文大家都怕,现在写博客个个比什么都积极,呵呵!
在这帮刘翔顶一下,给个链接了:http://liuxiang.qzone.qq.com/
早上刚写的一篇兽兽,中午随便google了下“兽兽”二字,我的文章居然排在了首页,难得啊,Google真的是越来越勤快了!不多说了,上图:

为博客添加了个有趣的人体时钟hone hone clock,是在wordpress中文博客论坛中看到一朋友的博客上有这个东西的,觉得好玩,就看了代码,添到自己的博客上,很简单,点我博客时钟下面的Hone Hone Clock按钮,就到了一网站,上面有两种时钟代码,一个是有背景的,另一个是没有背景的,把代码添加到自己博客主题下的rsidebar.php相应位置就可以了。
<meta name=”generator” content=”WordPress 2.9.*” />
这一句在你博客的源代码中一显示,就给很多黑客提供了方便,你博客的安全性又下降了一个点,如果有的博友按照我在前面的WordPress的三个必须安全措施文章中说过的,把主题文件夹下header.php文件里的<?php bloginfo(’version’); ?>语句删除了,那你可能在源代码中还会看到你的版本信息,wordpress版本信息泄露这一问题早在2.7版本之前就已经被人发现,可该问题在2.9的版本中仍然存在,我也是刚刚重视,疯狂王子劝博友们尽快把自己的版本信息删除,以免后患。
博客的源代码中显示版本信息如<meta name=”generator” content=”WordPress 2.9.*” />,主要是wordpress核心文件 default-filters.php 在加载默认的动作时有这样一句代码:add_action( ‘wp_head’, ‘wp_generator’); ,所以它会向meta中添加了该wordpress的版本信息,要去掉这一版本信息的话,在模板的function.php文件中添加下面代码就可以了(如果没有function.php文件,那就添加在header.php中):
/** 删除header中wp的版本号 */
remove_action(‘wp_head’, ‘wp_generator’);
注意:该段代码必须添加在<?php……?>的里面才可以,如果接在?>后面的话,会使你的博客主页发生变形,并在主页最上方显示你刚刚添加进去的这些内容,中文显示乱码。添加的地方必须正确。另外,复制后一定要看好每一个符号,不能是中文符号,一定要是英文状态下的符号。
另外一个问题就是留言文本中支持html格式,这可是个大问题,如果可恶之人使用<iframe>标签包含一个带有病毒的页面,发送到你的网站,后果就非常严重了。所以,希望各位博友的在模板function.php文件中也加入下面这段代码(有的模板可能已经设置了):
/** 以文本格式显示留言,如以html格式显示留言,则可能存在漏洞 */
add_filter( ‘pre_comment_content’, ‘wp_specialchars’ );
注意,复制后一定要看好每一个符号,不能是中文符号,一定要是英文状态下的符号。
PS:关于版本号的问题,有些博友已经启用了安全插件,那也是可以解决的。
昨天看的这个方法挺好,就是限制登录的ip,昨天限制了,今天连我自己都登不到后台,以为是哪个插件的问题,于是把所有插件撤掉,还是登不了,就像到了ip,原来,今天的ip给变了,汗……
上篇讲到wordpress安全问题,那其中wordpress的三个必须安全措施是什么呢?
1、确保/wp-admin/文件夹的安全
你可能已经知道了,WordPress的很多重要信息都是放在/wp-admin/文件夹里面。WordPress允许这个文件夹公开,因此,别人如果掌握这个文件夹里的文件,他或她就可以访问这些文件。
建议在/wp-admin/文件夹里面建立一个.htaccess文件,从而阻止除了您自己以外的所有IP的访问。
以下是.htaccess中需要包括的代码:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx(填写您自己的IP)
allow from xx.xx.xxx.xx(填写您自己的IP)
</LIMIT>
2、隐藏您的插件
许多WordPress插件都存在漏洞和缺陷,这些漏洞和缺陷如果给人利用了,就能很轻松地破坏你的网站,所以,你绝对不能让人知道你装了些什么插件。
如果你访问大多数博客的/wp-content/plugins/文件夹,你将可以看到这些博客使用的所有插件。为了隐藏您的插件,您只需要在/wp-content/plugins/文件夹里建立一个index.html的空白文件。
3、坚持安装补丁和更新
许多博客或许都已经这样做了。保持WordPress的更新就会相安无事。建议我们订阅WordPress开发博客。
最后的附加措施是,去掉网页标头(header)的WordPress版本的元标识(Meta tag),在主题文件夹下的header.php文件里,把下面这段代码删掉:
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->
或者至少删掉<?php bloginfo(’version’); ?>。
更新:我在上网时无意中发现了一个叫做Login LockDown的WordPress插件,这个插件主要的功能是跟踪网站登录次数。如果同一个IP地址在短时间内的登录次数太频繁,这个插件就会禁止那个IP的登录。这对避免密码被强行破解很有用。我也没用,不知道好不好用,大家可以试一下。