wordpress弱口令 weblogic 弱口令

如何為Wordpress做安全防護(hù)

是需要做什么樣的安全防護(hù)呢？這個(gè)需要多個(gè)方面的來做才能做好，

企業(yè)建站必須是能夠以充分展現(xiàn)企業(yè)形象為主要目的，是企業(yè)文化與產(chǎn)品對(duì)外擴(kuò)展宣傳的重要窗口，一個(gè)合格的網(wǎng)站不僅僅能為公司帶來巨大的互聯(lián)網(wǎng)上的收集和信息發(fā)布平臺(tái)，創(chuàng)新互聯(lián)公司面向各種領(lǐng)域：成都銅雕雕塑等成都網(wǎng)站設(shè)計(jì)、營銷型網(wǎng)站解決方案、網(wǎng)站設(shè)計(jì)等建站排名服務(wù)。

一、服務(wù)器安全

選擇一個(gè)安全穩(wěn)定的服務(wù)器這個(gè)比較重要，一個(gè)是服務(wù)好二個(gè)是數(shù)據(jù)的安全，保證數(shù)據(jù)的定時(shí)備份。

二、程序的安全

這里包括，我們博客的主題是否是經(jīng)過檢測(cè)的，有沒有含有木馬后門等程序，這個(gè)尤其是網(wǎng)上下回來的主題，還有就是插件安全，不要隨意去網(wǎng)上下載插件來安裝，最好是直接用后臺(tái)去收索插件的名字來安裝。

三、管理員的習(xí)慣

這個(gè)主要是人工層面的東西，比如用戶口令是否是弱口令，是不是定期修改，還有及時(shí)重要的信息要保管好。我自己的，熊照旭博客，就是嚴(yán)格按照這些來做的，都沒出過什么問題。

wordpress博客被掛馬，google提示有惡意插件，怎樣批量刪除惡意代碼

一般都是網(wǎng)站程序存在漏洞或者服務(wù)器存在漏洞而被攻擊了

網(wǎng)站掛馬是每個(gè)網(wǎng)站最頭痛的問題，解決辦法：1.在程序中很容易找到掛馬的代碼，直接刪除，或則將你沒有傳服務(wù)器的源程序覆蓋一次但反反復(fù)復(fù)被掛就得深入解決掉此問題了。但這不是最好的解決辦法。最好的方法還是找專業(yè)做安全的來幫你解決掉

聽朋友說 SineSafe 不錯(cuò) 你可以去看看。

清馬+修補(bǔ)漏洞=徹底解決

所謂的掛馬，就是黑客通過各種手段，包括SQL注入，網(wǎng)站敏感文件掃描，服務(wù)器漏洞，網(wǎng)站程序0day, 等各種方法獲得網(wǎng)站管理員賬號(hào)，然后登陸網(wǎng)站后臺(tái)，通過數(shù)據(jù)庫 備份/恢復(fù) 或者上傳漏洞獲得一個(gè)webshell。利用獲得的webshell修改網(wǎng)站頁面的內(nèi)容，向頁面中加入惡意轉(zhuǎn)向代碼。也可以直接通過弱口令獲得服務(wù)器或者網(wǎng)站FTP，然后直接對(duì)網(wǎng)站頁面直接進(jìn)行修改。當(dāng)你訪問被加入惡意代碼的頁面時(shí)，你就會(huì)自動(dòng)的訪問被轉(zhuǎn)向的地址或者下載木馬病毒

清馬

1、找掛馬的標(biāo)簽，比如有script language="javascript" src="網(wǎng)馬地址"/script或iframe width=420 height=330 frameborder=0

scrolling=auto src=網(wǎng)馬地址/iframe，或者是你用360或病殺毒軟件攔截了網(wǎng)馬網(wǎng)址。SQL數(shù)據(jù)庫被掛馬，一般是JS掛馬。

2、找到了惡意代碼后，接下來就是清馬，如果是網(wǎng)頁被掛馬，可以用手動(dòng)清，也可以用批量清，網(wǎng)頁清馬比較簡(jiǎn)單，這里就不詳細(xì)講，現(xiàn)在著重講一下SQL數(shù)據(jù)庫清馬，用這一句語句“update 表名 set 字段名=replace(字段名,'aaa','')”， 解釋一下這一句子的意思：把字段名里的內(nèi)容包含aaa的替換成空，這樣子就可以一個(gè)表一個(gè)表的批量刪除網(wǎng)馬。

在你的網(wǎng)站程序或數(shù)據(jù)庫沒有備份情況下，可以實(shí)行以上兩步驟進(jìn)行清馬，如果你的網(wǎng)站程序有備份的話，直接覆蓋原來的文件即可。

修補(bǔ)漏洞（修補(bǔ)網(wǎng)站漏洞也就是做一下網(wǎng)站安全。）

1、修改網(wǎng)站后臺(tái)的用戶名和密碼及后臺(tái)的默認(rèn)路徑。

2、更改數(shù)據(jù)庫名,如果是ACCESS數(shù)據(jù)庫，那文件的擴(kuò)展名最好不要用mdb，改成ASP的，文件名也可以多幾個(gè)特殊符號(hào)。

3、接著檢查一下網(wǎng)站有沒有注入漏洞或跨站漏洞，如果有的話就相當(dāng)打上防注入或防跨站補(bǔ)丁。

4、檢查一下網(wǎng)站的上傳文件，常見了有欺騙上傳漏洞，就對(duì)相應(yīng)的代碼進(jìn)行過濾。

5、盡可能不要暴露網(wǎng)站的后臺(tái)地址，以免被社會(huì)工程學(xué)猜解出管理用戶和密碼。

6、寫入一些防掛馬代碼，讓框架代碼等掛馬無效。

7、禁用FSO權(quán)限也是一種比較絕的方法。

8、修改網(wǎng)站部分文件夾的讀寫權(quán)限。

9、如果你是自己的服務(wù)器，那就不僅要對(duì)你的網(wǎng)站程序做一下安全了，而且要對(duì)你的服務(wù)器做一下安全也是很有必要了！

網(wǎng)站被掛馬是普遍存在現(xiàn)象然而也是每一個(gè)網(wǎng)站運(yùn)營者的心腹之患。

您是否因?yàn)榫W(wǎng)站和服務(wù)器天天被入侵掛馬等問題也曾有過想放棄的想法呢，您否也因?yàn)椴惶私饩W(wǎng)站技術(shù)的問題而耽誤了網(wǎng)站的運(yùn)營，您是否也因?yàn)榫倪\(yùn)營的網(wǎng)站反反復(fù)復(fù)被一些無聊的黑客入侵掛馬感到徬彷且很無耐。有條件建議找專業(yè)做網(wǎng)站安全的sine安全來做安全維護(hù)。

常見的黑帽手段有哪些

黑帽SEO指所有使用作弊或可疑手段。如垃圾鏈接，隱藏網(wǎng)頁，橋頁，關(guān)鍵詞堆砌等。典型的黑帽搜索引擎優(yōu)化，用程序從其他分類目錄或搜索引擎抓取大量搜索結(jié)果做成網(wǎng)頁，然后在這些網(wǎng)頁上放上Google?Adsense。這些網(wǎng)頁的數(shù)目不是幾百幾千，而是幾萬幾十萬。所以即使大部分網(wǎng)頁排名都不高，但是因?yàn)榫W(wǎng)頁數(shù)目巨大，還是會(huì)有用戶進(jìn)入網(wǎng)站，并點(diǎn)擊Google?Adsense廣告。

黑帽SEO常用的鏈接作弊伎倆：

博客作弊

BLOG，是一種交互性很強(qiáng)的工具。這幾年，博客的興起，成為了黑帽子SEO一個(gè)新的制造鏈接的福地。

1.BLOG群發(fā)作弊：在國內(nèi)常見的一些BLOG程序如：wordpress、?ZBLOG、PJBLOG、Bo-blog。早期的ZBLOG，PJBLOG因?yàn)殚_發(fā)者缺乏對(duì)SEO的認(rèn)識(shí)。ZBLOG和PJBLOG，一度成為黑帽子SEO們經(jīng)常光顧的地方。而Bo-blog博客程序，似乎還是可以給黑帽子SEO有機(jī)可乘的地方。

2.BLOG群作弊：BLOG群建作弊，就是通過程序或者人為的手段，大量申請(qǐng)BLOG帳戶。然后，通過發(fā)表一些帶有關(guān)鍵詞鏈接的文章，通過這些鏈接來推動(dòng)關(guān)鍵詞的搜索引擎排名。

3.BLOG隱藏鏈接作弊：作弊者通過提供免費(fèi)的博客風(fēng)格（Free Template），在風(fēng)格文件里增加隱藏鏈接（Hide Links）以增加網(wǎng)站隱藏鏈接，達(dá)到提高搜索引擎排名的目的。

頁面跳轉(zhuǎn)

利用Javascript或者其他技術(shù)，使用戶在到達(dá)頁面之后迅速跳轉(zhuǎn)到另一個(gè)頁面。

偷換頁面

這是為SEO設(shè)計(jì)的高度優(yōu)化的網(wǎng)頁，當(dāng)網(wǎng)站在獲得理想排名后，用普通頁面來替換優(yōu)化過的頁面。

橋頁

針對(duì)某一個(gè)關(guān)鍵字專門做一個(gè)優(yōu)化頁面，將鏈接指向或者重定向到目標(biāo)頁面，而且橋頁本身無實(shí)際內(nèi)容，只是針對(duì)搜索引擎的關(guān)鍵字堆砌而已。

留言本群發(fā)

使用留言本群發(fā)軟件可以自動(dòng)發(fā)布自己的關(guān)鍵詞URL,在短時(shí)間內(nèi)迅速提高外部鏈接。

鏈接工廠

“鏈接工廠”(亦稱“大量鏈接機(jī)制”)指由大量網(wǎng)頁交叉鏈接而構(gòu)成的一個(gè)網(wǎng)絡(luò)系統(tǒng)。這些網(wǎng)頁可能來自同一個(gè)域或多個(gè)不同的域，甚至可能來自不同的服務(wù)器。一個(gè)站點(diǎn)加入這樣一個(gè)“鏈接工廠”后，一方面它可得到來自該系統(tǒng)中所有網(wǎng)頁的鏈接，同時(shí)作為交換它需要“奉獻(xiàn)”自己的鏈接，籍此方法來提升鏈接得分，從而達(dá)到干預(yù)鏈接得分的目的。

隱藏鏈接

隱藏鏈接一般被SEO用在客戶網(wǎng)站上，通過在自己客戶網(wǎng)站上使用隱藏鏈接的方式連接自己的網(wǎng)站或者是其他客戶的網(wǎng)站。

假鏈接

將鏈接添加到JS代碼、框架或者是表單里面。這種方式的鏈接，對(duì)搜索引擎的蜘蛛來說，根本無法讀取出來。因此，鏈接只是做給人看的，搜索引擎根本無法識(shí)別。

網(wǎng)頁劫持

網(wǎng)頁劫持也就是我們經(jīng)常所說的Page Jacking，是將別人的網(wǎng)站內(nèi)容或者整個(gè)網(wǎng)站全面復(fù)制下來，偷梁換柱放在自己的網(wǎng)站上。這個(gè)黑帽SEO方法是對(duì)網(wǎng)頁內(nèi)容極其匱乏的站長(zhǎng)有吸引力的。但是，這個(gè)做法是相當(dāng)冒險(xiǎn)的，更是不恥的。搜索引擎的專利技術(shù)能從多個(gè)因素上來判斷這個(gè)被復(fù)制的網(wǎng)頁或者網(wǎng)站不是原創(chuàng)，而不予以收錄。

網(wǎng)站鏡像

通過復(fù)制整個(gè)網(wǎng)站或部分網(wǎng)頁內(nèi)容并分配以不同域名和服務(wù)器，以此欺騙搜索引擎對(duì)同一站點(diǎn)或同一頁面進(jìn)行多次索引的行為，這既是為什么有的網(wǎng)站注明禁止未授權(quán)不得做網(wǎng)站鏡像的原因了，兩個(gè)網(wǎng)站的完全一樣，相似度過高必然會(huì)導(dǎo)致自己的網(wǎng)站受到影響。

地址重定向

302 redirect: 302代表暫時(shí)性轉(zhuǎn)移(Temporarily Moved )，在前些年，不少Black Hat SEO曾廣泛應(yīng)用這項(xiàng)技術(shù)作弊，各大主要搜索引擎均加強(qiáng)了打擊力度。即使網(wǎng)站客觀上不是spam，也很容易被搜尋引擎容易誤判為spam而遭到懲罰。大家肯定有這樣的經(jīng)歷，搜索到某個(gè)網(wǎng)站的時(shí)候進(jìn)去就變成另一個(gè)網(wǎng)站了，這種主要是通過跳轉(zhuǎn)技術(shù)實(shí)現(xiàn)的，往往跳轉(zhuǎn)到一個(gè)贏利性頁面。

掛黑鏈

掃描FTP或者服務(wù)器的弱口令、漏洞，然后黑掉網(wǎng)站，把鏈接掛進(jìn)去。這是不合法的手段，這些SEOer也是我鄙視的，國內(nèi)大有這樣的人存在。這些是可以通過SeoQuake插件輔助發(fā)現(xiàn)的。

斗蓬法

斗蓬法(cloaking)簡(jiǎn)單來講就是網(wǎng)站站長(zhǎng)用了兩版不同的網(wǎng)頁來達(dá)到最佳化的效果。一個(gè)版本只給搜索引擎看，一個(gè)版本給自己看。搜索引擎說這類做法是違規(guī)的，如果提供給搜索引擎的網(wǎng)站版本不能如實(shí)反映網(wǎng)頁所包含的真實(shí)內(nèi)容。如被發(fā)現(xiàn)，該網(wǎng)站會(huì)永久從搜索引擎名單中被剔除。

關(guān)鍵詞堆積

很多站長(zhǎng)在優(yōu)化關(guān)鍵字的時(shí)候，堆積了大量關(guān)鍵字，讓搜索引擎以為網(wǎng)頁具有相關(guān)性，關(guān)鍵詞堆積技術(shù)利用一長(zhǎng)串重復(fù)性的關(guān)鍵詞來蒙混搜索引擎。而實(shí)際上，這些關(guān)鍵詞有時(shí)候與網(wǎng)頁內(nèi)容相關(guān)，有時(shí)候則與網(wǎng)頁內(nèi)容無關(guān)。這類辦法很少奏效，而且，也不太可能在或長(zhǎng)或短的時(shí)間內(nèi)將一個(gè)網(wǎng)站的排名哄抬至很高。

PR劫持

PR劫持的方法是利用跳轉(zhuǎn)。一般搜索引擎在處理301和302轉(zhuǎn)向的時(shí)候，都是把目標(biāo)URL當(dāng)作實(shí)際應(yīng)該收錄的URL。當(dāng)然也有特例，不過在大部分情況下是這樣處理的。所以如果你從域名A做301或302跳轉(zhuǎn)到域名B，而域名B的PR值比較高，域名A在PR更新后，也會(huì)顯示域名B的PR值。最簡(jiǎn)單的就是先做301或302跳轉(zhuǎn)到高PR的域名B，等PR更新過后，立刻取消轉(zhuǎn)向，同時(shí)也獲得了和B站相同的PR值。這個(gè)做假的PR顯示值至少維持到下一次PR更新。

細(xì)微文字

許多做搜索引擎優(yōu)化的人士明白隱藏文字可能會(huì)遭到懲罰，所以就將本來隱藏的文字以細(xì)微的字體暴露出來。細(xì)微文字即使是使用微小的字體在網(wǎng)頁不顯眼的地方書寫帶有關(guān)鍵詞的句子。一般這些文字是放在網(wǎng)頁的最頂端或者最底部。這些文字的色彩雖然不是和隱藏文字那樣與背景使用相同顏色，但是經(jīng)常也以非常相近的顏色出現(xiàn)。

隱藏頁面

隱藏頁面（cloaked page）是有的網(wǎng)頁使用程序或腳本來檢測(cè)來訪問的是搜索引擎還是普通用戶。如果是搜索引擎，網(wǎng)頁就返回經(jīng)過優(yōu)化的網(wǎng)頁版本。如果來訪的是普通人，返回的是另外一個(gè)版本。這種作弊方式，通常用戶無法發(fā)現(xiàn)。因?yàn)橐坏┠愕臑g覽器去看這個(gè)網(wǎng)頁，無論是在頁面上還是在HTML源文件中，你所得到的都已經(jīng)是與搜索引擎看到的不同的版本。檢測(cè)的方法是，看一下這個(gè)網(wǎng)頁的快照。

隱藏文字

隱藏文字（hidden text）是在網(wǎng)頁的HTML文件中放上含有關(guān)鍵詞的文字，但這些字不能被用戶所看到，只能被搜索引擎看到?？梢杂袔追N形式，比如說超小字號(hào)的文字，與背景同樣顏色的文字，放在評(píng)論標(biāo)簽當(dāng)中的文字，放在表格input標(biāo)簽里面的文字，通過樣式表把文字放在不可見的層上面等等。

橋頁

橋頁（doorway pages）是通常是用軟件自動(dòng)生成大量包含關(guān)鍵詞的網(wǎng)頁，然后從這些網(wǎng)頁做自動(dòng)轉(zhuǎn)向到主頁。目的是希望這些以不同關(guān)鍵詞為目標(biāo)的橋頁在搜索引擎中得到好的排名。當(dāng)用戶點(diǎn)擊搜索結(jié)果的時(shí)候，會(huì)自動(dòng)轉(zhuǎn)到主頁。有的時(shí)候是在橋頁上放上一個(gè)通往主頁的鏈接，而不自動(dòng)轉(zhuǎn)向。

如何為WordPress做安全防護(hù)

及時(shí)更新插件以及主程序、主題

不要使用弱口令

更改默認(rèn)登錄地址

增加驗(yàn)證碼

控制好用戶的權(quán)限

目前而言，主程序的漏洞比較少，很多SQL注入以及XSS漏洞常見于各種插件中，因此盡量減少使用不必要的插件

名稱欄目：wordpress弱口令 weblogic 弱口令
文章轉(zhuǎn)載：http://m.jiaotiyi.com/article/doisied.html