时刻关注莆田外贸,专注莆田SEO动态,zen cart外贸网站建设
为博客添加了个有趣的人体时钟hone hone clock,是在wordpress中文博客论坛中看到一朋友的博客上有这个东西的,觉得好玩,就看了代码,添到自己的博客上,很简单,点我博客时钟下面的Hone Hone Clock按钮,就到了一网站,上面有两种时钟代码,一个是有背景的,另一个是没有背景的,把代码添加到自己博客主题下的rsidebar.php相应位置就可以了。
<meta name=”generator” content=”WordPress 2.9.*” />
这一句在你博客的源代码中一显示,就给很多黑客提供了方便,你博客的安全性又下降了一个点,如果有的博友按照我在前面的WordPress的三个必须安全措施文章中说过的,把主题文件夹下header.php文件里的<?php bloginfo(’version’); ?>语句删除了,那你可能在源代码中还会看到你的版本信息,wordpress版本信息泄露这一问题早在2.7版本之前就已经被人发现,可该问题在2.9的版本中仍然存在,我也是刚刚重视,疯狂王子劝博友们尽快把自己的版本信息删除,以免后患。
博客的源代码中显示版本信息如<meta name=”generator” content=”WordPress 2.9.*” />,主要是wordpress核心文件 default-filters.php 在加载默认的动作时有这样一句代码:add_action( ‘wp_head’, ‘wp_generator’); ,所以它会向meta中添加了该wordpress的版本信息,要去掉这一版本信息的话,在模板的function.php文件中添加下面代码就可以了(如果没有function.php文件,那就添加在header.php中):
/** 删除header中wp的版本号 */
remove_action(‘wp_head’, ‘wp_generator’);
注意:该段代码必须添加在<?php……?>的里面才可以,如果接在?>后面的话,会使你的博客主页发生变形,并在主页最上方显示你刚刚添加进去的这些内容,中文显示乱码。添加的地方必须正确。另外,复制后一定要看好每一个符号,不能是中文符号,一定要是英文状态下的符号。
另外一个问题就是留言文本中支持html格式,这可是个大问题,如果可恶之人使用<iframe>标签包含一个带有病毒的页面,发送到你的网站,后果就非常严重了。所以,希望各位博友的在模板function.php文件中也加入下面这段代码(有的模板可能已经设置了):
/** 以文本格式显示留言,如以html格式显示留言,则可能存在漏洞 */
add_filter( ‘pre_comment_content’, ‘wp_specialchars’ );
注意,复制后一定要看好每一个符号,不能是中文符号,一定要是英文状态下的符号。
PS:关于版本号的问题,有些博友已经启用了安全插件,那也是可以解决的。
昨天看的这个方法挺好,就是限制登录的ip,昨天限制了,今天连我自己都登不到后台,以为是哪个插件的问题,于是把所有插件撤掉,还是登不了,就像到了ip,原来,今天的ip给变了,汗……
上篇讲到wordpress安全问题,那其中wordpress的三个必须安全措施是什么呢?
1、确保/wp-admin/文件夹的安全
你可能已经知道了,WordPress的很多重要信息都是放在/wp-admin/文件夹里面。WordPress允许这个文件夹公开,因此,别人如果掌握这个文件夹里的文件,他或她就可以访问这些文件。
建议在/wp-admin/文件夹里面建立一个.htaccess文件,从而阻止除了您自己以外的所有IP的访问。
以下是.htaccess中需要包括的代码:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx(填写您自己的IP)
allow from xx.xx.xxx.xx(填写您自己的IP)
</LIMIT>
2、隐藏您的插件
许多WordPress插件都存在漏洞和缺陷,这些漏洞和缺陷如果给人利用了,就能很轻松地破坏你的网站,所以,你绝对不能让人知道你装了些什么插件。
如果你访问大多数博客的/wp-content/plugins/文件夹,你将可以看到这些博客使用的所有插件。为了隐藏您的插件,您只需要在/wp-content/plugins/文件夹里建立一个index.html的空白文件。
3、坚持安装补丁和更新
许多博客或许都已经这样做了。保持WordPress的更新就会相安无事。建议我们订阅WordPress开发博客。
最后的附加措施是,去掉网页标头(header)的WordPress版本的元标识(Meta tag),在主题文件夹下的header.php文件里,把下面这段代码删掉:
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->
或者至少删掉<?php bloginfo(’version’); ?>。
更新:我在上网时无意中发现了一个叫做Login LockDown的WordPress插件,这个插件主要的功能是跟踪网站登录次数。如果同一个IP地址在短时间内的登录次数太频繁,这个插件就会禁止那个IP的登录。这对避免密码被强行破解很有用。我也没用,不知道好不好用,大家可以试一下。
近期很多wordpress博友的博客被黑,原因是他们使用的版本很低,并且在博客首页的源代码都可以看得见他们用的是什么版本的。黑客很多时候会修改你博客主题的文件并插入垃圾链接。所以我在此建议大家尽快对您的WordPress进行检查,确保它没有受到威胁。
如何发现WordPress被黑?
识别垃圾链接的最简单的方法就是在浏览器上打开您的网页并检查源代码,特别是html标头(Header)和页脚(Footer),并检查是否有些不应该出现的链接(通常是游戏,彩票等)。
如果你有使用Firefox浏览器,您也可以点击“工具”,然后点击“页面信息”,再然后点击“链接”,窗口就会显示您所浏览的当前页面所有的链接。
最后,您也应该检查所有的主题文件和WordPress的安装,看看有没有任何文件或者代码看起来可疑。
如何防止WordPress被黑?
被黑的大多数博客所用的都是旧版的存在一些安全缺陷(Bug)的WordPress,所以你的第一道防线应该是使用最新版本的WordPress。如果您较迟更新到WordPress最新版本,请确保所有插件自动升级,整个过程其实很简单。然后,您也应该通过只允许特定IP访问的方式来保护您的WP-Admin文件夹。您可以在WP-Admin文件夹里创建一个.htaccess文件(一个简单的文本文件),文件上的代码请参考WordPress 三个必须的安全措施。
然后,您也应该取消整个网站目录的导航功能,这样别人就不会知道您使用的插件或者其他敏感的资料。这种方法很简单,您只需要在根目录里的.htaccess文件添加以下一行代码:
Options -Indexes
最后,如果由于某种原因您不能更新您的WordPress或者没有办法只允许某些IP访问您的WP-Admin文件夹,您还可以删除WP-Admin文件夹里面的theme-editor.php文件。这种方法虽然不是最佳的,但是应该有利于阻止别人把一些垃圾链接添加到您的主题文件上。
另外,要记得经常更换您的密码!
最近的自身经历,让我不得不提高对wordpress安全性的敏感度!一个小小的博客可能没什么影响,但是,要想认真做好一个博客,当今天你博客的某些关键字排名在首一首二时,你的受关注程度便自然提高,这时,也有一部分黑客正在搜索你的博客。那么如何提高wordpress的安全性呢?
当下,网络安全一直是个热门话题。WordPress开发者对安全问题同样煞费苦心,但几乎所有的系统都存在潜在的安全隐患问题。安全和方便,通常两者不能兼得。本文会向大家介绍一些提高WordPress安全性的常用方法。
从根本上来说,安全并不是指系统坚不可摧,这是一种不现实的想法。安全更多是相对系统值得信任的程度和响应能力而言。例如,我们可以在值得信任的主机上运行稳定补丁版本的web服务器,无论Apache,IIS或是其他任何服务器。值得信任的主机会告诉用户:我们负责测试服务器的配置,然后您决定是否使用这种服务器。而不值得信任的主机不仅不能运行补丁版本的服务器,它们也不会告诉用户运行中的服务器版本信息。
有些功能已经贯彻了这一安全宗旨:
1. 访问限制:系统发现有人恶意入侵后,尽可能地限制其访问权限
2. 降低损失:如果可疑人士发现了系统中的漏洞,系统能够将损失减少到最低限度
3. 掌握WordPress信息:保留备份资料,定期了解WordPress网站的情况,记录自己对网站的修改,这些都可以帮助更好地了解WordPress。
确保自己用以运行WordPress的计算机中没有间谍软件、恶意软件与恶意广告软件,也没有被计算机病毒感染;确保计算机所运行的程序版本是安全而稳定的。
由于编写WordPress程序时允许用户传递HTTP参数、坏URI字符串、表单输入等,这就导致了WordPress系统中的漏洞。
有两种方法可以解决这一问题:
1. 升级到WordPress最新版:WordPress开发人员不对旧版本的WordPress进行安全补丁维护。新版本发布或报告的漏洞被修正,等于是将旧版本的漏洞公开,这样旧版本会更容易受到攻击。
2. 报告bugs:如果你认为你发现了一个bug,请向wordpress系统报告。一个bug可能就会造成一个漏洞。如果你认为你发现的是严重的安全漏洞,请先将详细信息发送到security@wordpress.org。
运行WordPress的web服务器、存储WordPress数据的数据库以及所有用于插件和其他帮助程序的脚本/编程语言都可能会有漏洞。因此我们一定要确保web服务器、数据库、脚本解释程序的安全性和稳定性,同时也要确保主机能够保护我们的服务器、数据库以及脚本解释程序等。
此外,共享主机(不止一个人使用的主机)用户也要注意,如果共享主机上有一个人有安全隐患,其他人也不能幸免于难。请向主机提供商咨询相应的预防措施。
WordPress服务器和客户端的网络都必须是安全的。这意味着客户端需要在主路由器上升级防火墙规则并注意所用的网络服务。由于网吧使用的是未加密的无线连接,用户在其中发送明文形式的密码是不安全的。用户和主机服务商都要确保黑客没有在网络中植入病毒。病毒可以利用网络漏洞,通过嗅探器解析用户的密码并进行其他破坏活动。
良好的安全习惯可以防止很多安全问题发生,保护密码安全就是其中一个好习惯:不要用自己的名字、(任何语言中的)某个单词或者字符串4作为密码。密码不能过于单一,因此综合数字和变化的大写字母会使密码强度更高,避免被轻易破解。在无法更改用户名的情况下,密码强度尤为重要。恶意用户能够通过固定的用户名了解更多详细信息,从而方便他们编辑文件和数据库。
WordPress中一些功能允许web服务器写入某些文件。但赋予程序对文件的写入权限是件危险的事,特别是在公共环境中。
从安全角度来说,最好尽可能地封闭文件的访问权限,在需要写入文件时再解除访问限制,或者为上传图片等任务新建一个专用的、权限较为宽松的文件夹。
下面介绍一个可行的方案。
所有文件都应该由用户本人拥有,只有用户本人有权编辑文件。如果有文件需要WordPress的访问权限,该文件应部分归属于web服务器的注册用户。
用于目录:
find [your path here] -type d -exec chmod 755 {} \;
用于文件:
find [your path here] -type f -exec chmod 644 {} \;
该命令不能在/wp-includes/中使用。
自2.7版本开始,WordPress开始具备自动升级功能。例如,是文件的所有者而不是web服务器的所有者进行文件操作。所有文件都被设置为0644,所有目录都被设置成0755,所有人都具有阅读权限,但只有用户本人有编辑权限。
在同一个服务器上运行多个博客时,最好将这些博客数据分别存储在不同的数据库中,并且每个数据库由不同用户名进行管理。最好在WordPress安装初始完成以上操作。这是一种降低损失的策略:即使入侵者成功进入某一个WordPress博客,他们也难以更改其它博客。
如果用户自己管理MySQL,请确保自己了解MySQL的配置并禁用不必要的功能(如接受远程TCP连接等)。
用AskApache Password Protection plugin.插件在/wp-admin/文件夹里添加一些访问控件,这可以帮助增强博客的安全性。这款插件同样也可以保护/wp-login.php文件,以及/wp-includes/ 和 /wp-content/文件夹中的所有文件。
警告:安装AskApache Password Protection插件可能会导致WordPress管理面板被锁定,然后当用户访问自己博客的wp-admin目录路径时,系统会返回500错误。用户可以先在测试环境中安装AskApache Password Protection插件进行测试,避免服务器或其它配置发生错误。要卸载该插件,请先在wp-admin文件夹中删除新的.htaccess文件,然后登录博客并禁用(尽可能删除)该插件。在插件开发者的个人主页中有网友对这款插件的评价。
在服务器端添加对/wp-admin/的密码保护措施,这样可以双重保护博客管理栏、登录以及文件。这样黑客和网络爬虫就必须要攻破第二重保护层才能获取管理文件。大多数情况下WordPress攻击都是由恶意软件爬虫自动发起的。
最常见的WordPress博客攻击大致可以分为两类:
1. 针对特定漏洞,向具有特定有效开发负载的服务器发送经过特别处理的HTTP请求。包括原有的/过时的插件和软件。
2. 试图通过“强制式”猜测密码登录博客。
为重要文件添加第二重保护层,这样黑客在试图破坏/wp-admin/前就必须要攻破第二重保护层。这种保护使用的是HTTP基本认证,密码会以未加密的普通文本方式在网络上传送。这种保护可以拒绝对服务器文件的访问,同时还能在攻击到达博客的/wp-admin/前对用户发出警告。
为/wp-admin/目录添加HTTP SSL加密链接后,所有通讯和敏感信息都被加密,这样才能最终实现“第二重保护层”。
可以将wp-config.php文件移到WordPress安装文件的上级目录,也就是说,如果网站文件在用户网际空间的根目录中,wp-config.php文件可以被存储在网站根目录之外。注意:wp-config.php只能存储在WordPress安装文件(wp-includes所在的文件)的上一级目录中。
可以用Admin-SSL插件将所有通讯信息和重要的WordPress cookies进行加密。SSL加密安全技术包括个人SSL和共享 SSL。
可以在WP Security Scan中下载Security Scan插件。Security Scan插件能够有力保护WordPress的安装安全,但用户仍然应该保管好自己的密码,并在安装主题和插件前进行仔细检查,备份相关文件和数据库以防黑客攻击。
有些插件自称能够根据数据库与白名单筛选出可疑请求。BlogSecurity’s WPIDS 插件中安装了PHPIDS,PHPIDS是一个PHP程序的通用安全层,WordPress防火墙通过结合WordPress预配置的规则与白名单判断出攻击行为。
如果插件需要具备WordPress文件和目录的写入权限,请先检查代码是否合法。你可以在Support Forums 和WordPress在线聊天系统(IRC)中进行检查。
我们曾经说过,提高WordPress安全性的一部分目标是,在遭到攻击时尽量减少损失。有些插件允许PHP或其他代码对数据库中的输入数据进行操作,这样就增加了攻击可能造成的损失。
如果不使用这种插件,你还可以使用可调用函数的自定义页面模板。如果禁止WordPress中的文件编辑,自定义页面模板的安全措施会被激活。
人们认为通过隐藏信息来保证安全并不是一种可取的安全策略。但在WordPress的某些区域中,隐藏信息的确能够保证一定安全性:
1. 不要公布你所使用的WordPress版本:如果你使用的是WordPress老版本,大家都知道这些版本的漏洞,那么最好将版本信息隐藏起来,不要公布。即使你能够快速升级数据包,版本发布和升级之间的时间间隙也足以让攻击者见缝插针。但将主题中所有WordPress版本信息字符串(例如,每个页面中的<meta name=”generator” content=”WordPress 2.7″ />)都隐藏起来的确是件令人头痛的事。因此最好的解决方法仍然是使用最新版本的WordPress。你可以用Replace WP-Version插件来将旧版本换成新版本。如果不希望用插件来删除版本信息,可以选择在主题的function.php文件中加上<?php remove_action ‘wp_head’, ‘wp_generator’); ?>。
2. 重命名管理者账号:可以用update tableprefix_users set user_login=’newuser’ where user_login=’admin’; 命令在MySQL命令行客户端中重命名管理者账号,也可以使用PhpMyAdmin等MySQL前端程序。
3. 更改 table_prefix(表名前缀): 很多已知的专门针对WordPress的SQL植入式攻击都假定默认情况下表名前缀是”wp_,”。更改表名前缀与隐藏式安全性质类似,但也能防止一些SQL植入式攻击。 WP Prefix Table Changer插件和 WordPress Table Rename插件都可以自动更改表名前缀, Manual instructions这篇文章也可能起到一定帮助作用。
定期备份数据,包括MySQL数据库(参见备份数据库)。保持备份的数据完整性。对备份资料进行加密处理,独立记录每个备份文件的MD5散列表,将备份存放在只读设备(如CD-R)中以增强资料保密程度。
在安全环境中定期保存整个WordPress(包括WordPress重要文件和用户数据库)的快照,这是一种可行的安全策略。这样的话,如果某个网站在五月一日遭到连带攻击,但是直到五月十二日攻击才被发现,那么网站主人在攻击之前的备份可以帮助重建网站,如果有幸获得攻击之后的备份,就能更好地了解这次攻击的具体情况。
我们可以记录所有发送到WordPress的$POST变量。标准的Apache日志记录的安全性还有待加强。
(本文摘自:WordPress啦!)
昨天给自己的博客上了Google Adsense广告,申请了好多次,终于通过,通过后就要登陆Adsense后台去设置,获得代码,再把代码放到自己的博客上去,那获得代码后该放在博客的哪个位置呢?
1、在Wordpress的侧栏放置广告:
这个最简单也最常见,打开当前博客所使用的主题文件夹下找到“sidebar.php”,在最下面加入下面的代码,把sidebar改成你主题侧栏使用的样式,活者自定义一个:
<div class=”sidebar”>
<h3>Ad – Google</h3>
这里是广告代码
</script>
</div>
2、在Wordpress文章(内容)页放置广告:
TrackBack是一种网络日志应用工具,它可以让网志作者知道有那些人看到自己的文章后撰写了与之有关的短文,即引用。在Movable Type和WordPress软件中,包含有该功能。这种功能通过在网志之间互相「ping」的机制,实现了网站之间的互相通告;因此,它也可以提供提醒功能。
TrackBack功能一般出现在一个网志文章的下方,同时会显示对方网志的摘要信息、URL和网志标题。
TrackBack规范由Six Apart在2000年制订,并在Movable Type2.2中予以实现。
晚上浏览博客时发现一款很漂亮的标签云,它可谓是Flash+JS实现的超炫WordPress标签云效果,该插件叫Wp-Cumulus,安装并激活后,要进行一些设置才能在主页显示,这就需要调用它,调用方式有两种,一种是通过WordPress 的widget(小工具),另一种是通过在页面调用PHP函数。
1、Widegt调用
先启用WP-Cumulus的widget,然后对WP-Cumulus Widget进行设置,具体的设置方法见下图。至于具体的设置项LosesToy 就不多讲,学过英语的人都看的懂。
2、PHP函数调用
php调用也很简单,但是必须对php有一定的了解。使用方法就是,将如下的一段php代码插入到你想要显示WP-Cumulus标签云的页面某个位置即可。我是放在模板下的index.php文件里,<?php get_sidebar(); ?>代码的下方。
<?php wp_cumulus_insert(); ?>
它的设置与上面所说的Widget设置不同,它是通过后台的“设置→WP Cumulus” 来进行设置的。注,这个设置只与PHP函数页面调用有关,与 Widget 调用无关,也就是说如果你是通过Widget调用的,你只需要在 Widget 里设置即可,不要来这里进行设置。具体的设置项 Losestoy 也不多说,不明白的请留言。
效果见主页右侧栏的标签云。
