wordpress 入侵,如何快速搭建Wordpress网站您可以去它的官网(cn.wordpress.org)上,下载安装包到您的虚拟主机上进行安装。
以下为安装步骤的图片,请您收下。
更改适配器ip怎么填,win7怎么看本地ip地址,怎么样提升关键词排名
@ 请问如何在wamp环境下实现按端口访问wordpress和discuz?
修改httpd配置文件中的listen项,添加8088端口,配置discuz的虚拟主机,指向到这个端口,然后重启即可。
当然也可以配置虚拟主机,这样都可以用80端口了。
@ wordpress是个著名的开源网站程序?
对于国外软件偶觉得如果个人小站长可以放心使用,国外软件哪怕收费也是针对那些大企业收费,大企业更注重版权问题,正如曾经微软吵得沸沸扬扬维护版权一样,最终不了了之。
织梦对于刚开始搞网站的确实起到关键性作用,国内这里面对版权问题重视起来,不仅仅织梦维权,还有微擎等等都在维权,在开源这条路上其实并不好走,有实力有能力开源长期维护,没实力的开源都没人要,最感激的还是论坛开源鼻祖DZ,始终也没说对个人小站长下手。
@ wordpress怎样搭建网站?
想要搭建个人网站,就需要有单独的服务器,就在阿里云购买了台服务器,选择系统为“Ubuntu 14.04.5 LTS”,并在阿里云买了个域名(域名是为了方便记忆,否则输入ip地址访问网站很不方便),下面就使用Ubuntu系统搭建WordPress个人网站。
安装WordPress运行环境
1.安装Mysql数据库
apt update
apt upgrade
apt install mysql-server
查看mysql是否安装成功:
root@iZ2zeeg42qkecbhciml4pcZ:~# mysql –version
mysql Ver 14.14 Distrib 5.5.62, for debian-linux-gnu (x86_64) using readline 6.3
2.安装PHP
apt-get install software-properties-common
add-apt-repository ppa:ondrej/php
apt update
apt install php7.2
apt install libapache2-mod-php7.2
apt install php7.2-mysql
apt install php7.2-fpm
查看php是否安装成功:
root@iZ2zeeg42qkecbhciml4pcZ:~# php -v
PHP 7.2.16-1+ubuntu14.04.1+deb.sury.org+1 (cli) (built: Mar 7 2019 20:42:24) ( NTS )
Copyright (c) 1997-2018 The PHP Group
Zend Engine v3.2.0, Copyright (c) 1998-2018 Zend Technologies
with Zend OPcache v7.2.16-1+ubuntu14.04.1+deb.sury.org+1, Copyright (c) 1999-2018, by Zend Technologies
3.安装Nginx
install nginx
查看Nginx是否安装成功:
root@iZ2zeeg42qkecbhciml4pcZ:~# nginx -v
nginx version: nginx/1.4.6 (Ubuntu)
重启Nginx后,在浏览器中输入http://阿里云服务器外网IP地址/
service nginx stop
service nginx start
如果图片显示为下图,说明阿里云服务器自动启动了apache2的服务,apache2和nginx都使用80端口,80端口冲突。
关闭apache2的服务
重启php7.2-fpm服务和Nginx服务:
在浏览器中输入http://阿里云服务器外网IP地址/
安装WordPress及其配置
1.Mysql创建数据库和用户:
root@iZ2zeeg42qkecbhciml4pcZ:~# mysql -u root -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 44
Server version: 5.5.62-0ubuntu0.14.04.1 (Ubuntu)
Copyright (c) 2000, 2018, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
Type ‘help;’ or ‘\h’ for help. Type ‘\c’ to clear the current input statement.
mysql> create database 数据库名称 character set utf8 collate utf8_general_ci;
Query OK, 1 row affected (0.00 sec)
mysql> grant all on 数据库名称.* to ‘用户名’@localhost identified by ‘用户密码’;
Query OK, 0 rows affected (0.00 sec)
mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.00 sec)
mysql> quit
Bye
root@iZ2zeeg42qkecbhciml4pcZ:~#
2.下载WordPress并安装:
获取WordPress软件:点击此处
将下载的wordpress-5.0.3-
zh_CN.tar.gz
上传到云服务器上安装wordPress:
root@iZ2zeeg42qkecbhciml4pcZ:~# ls
wordpress-5.0.3-zh_CN.tar.gz
root@iZ2zeeg42qkecbhciml4pcZ:~# mv wordpress-5.0.3-zh_CN.tar.gz /var/www/
root@iZ2zeeg42qkecbhciml4pcZ:~# cd /var/www/
root@iZ2zeeg42qkecbhciml4pcZ:/var/www# ls
html wordpress-5.0.3-zh_CN.tar.gz
root@iZ2zeeg42qkecbhciml4pcZ:/var/www# tar -zxvf wordpress-5.0.3-zh_CN.tar.gz
……
root@iZ2zeeg42qkecbhciml4pcZ:/var/www# ls
html wordpress wordpress-5.0.3-zh_CN.tar.gz
root@iZ2zeeg42qkecbhciml4pcZ:/var/www# cd wordpress/
root@iZ2zeeg42qkecbhciml4pcZ:/var/www/wordpress# ls
index.php readme.html wp-admin wp-comments-post.php wp-content wp-includes wp-load.php wp-
mail.php
wp-signup.php xmlrpc.phplicense.txt
wp-activate.php wp-blog-header.php wp-config-sample.php wp-cron.php wp-links-opml.php wp-login.php wp-settings.php wp-trackback.phproot@iZ2zeeg42qkecbhciml4pcZ:/var/www/wordpress# mv wp-config-sample.php wp-
config.php
使用vim命令编辑wp-config.php:
vim wp-config.php
修改文件中的数据库配置信息,填写刚才创建的数据库信息:
/** WordPress数据库的名称 */
define(‘DB_NAME’, ‘数据库名称’);
/** MySQL数据库用户名 */
define(‘DB_USER’, ‘用户名’);
/** MySQL数据库密码 */
define(‘DB_PASSWORD’, ‘数据库密码’);
/**
* WordPress数据表前缀。
*
* 如果您有在同一数据库内安装多个WordPress的需求,请为每个WordPress设置
* 不同的数据表前缀。前缀名只能为数字、字母加下划线。
*/
$table_prefix = ‘wp_’;
在阿里云控制台将域名解析到指定的服务器上:
控制台->域名->解析->添加纪录
配置服务安全组策略,将80(http)端口和443(https)端口开放:
控制台->云服务器ECS->网络和安全->安全组->配置规则
配置80端口:
配置443端口:
配置后查看内容:
编辑Nginx配置文件:/etc/nginx/sites-available/default
client_max_body_size 10m;
server {
listen 80;
listen [::]:80;
server_name localhost; #你的域名
root /var/www/wordpress;
index index.php index.html index.htm index.nginx-debian.html;
location / {
# First attempt to serve request as file, then
# as directory, then fall back to displaying a 404.
#try_files $uri $uri/ =404;
try_files $uri $uri/ /index.php?$args;
}
location ~ \.php$ {
# include fastcgi.conf;
include fastcgi_params;
fastcgi_buffer_size 128k;
fastcgi_buffers 32 32k;
#fastcgi_intercept_errors on;
# With php-fpm (or other unix sockets):
fastcgi_pass unix:/var/run/php/php7.2-fpm.sock;
# With php-cgi (or other tcp sockets):
#fastcgi_pass 127.0.0.1:9000;
}
}
重启Nginx后,在浏览器中输入http://阿里云服务器外网IP地址/
service nginx stop
service nginx start
在浏览器中访问自己的域名,查看是否成功:
到此WordPress就安装成功了,你可以自行配制您的网站信息。
@ 现在大部分网站容易被入侵吗?
【现在大部分网站容易被入侵】
你的网站真的坚不可摧?目前的网站可分为三大块:个人运营、团队/公司运营、政府运营。
个人网站比例还是很大的,这种网站多数采用开源系统,如博客类:Wordpress、Emlog、Typecho、Z-blog、More…,社区类:Discuz、PHPwind、StartBBS、Mybb等等。团队/公司网站使用常用的开源CMS比例也是非常大,政府类网站基本上外包开发较多。当然互联网公司自家产品应用必然都是公司自主开发:淘宝?知乎?豆瓣?太多了。更泛一点的说,分为两大块:开源与闭源。能够有效说明网站伪安全的就是从实战出发的角度去证明到底是不是真的固若金汤。这里之所以讲到入侵方法不是为了教大家如何入侵网站,而是了解入侵的方法多种多样,知己知彼才能百战不殆。菜刀能够用来切菜,同样也能够用来杀人。黑客们入侵网站普遍的手法/流程:1、信息收集 1.1/ Whois信息–注册人、电话、邮箱、DNS、地址 1.2/ Googlehack–敏感目录、敏感文件、更多信息收集 1.3/ 服务器IP–Nmap扫描、端口对应的服务、C段 1.4/ 旁注–Bing查询、脚本工具 1.5/ 如果遇到CDN–Cloudflare(绕过)、从子域入手(mail,postfix)、DNS传送域漏洞 1.6/ 服务器、组件(指纹)–操作系统、web server(apache,nginx,iis)、脚本语言 1.7/ More…通过信息收集阶段,攻击者基本上已经能够获取到网站的绝大部分信息,当然信息收集作为网站入侵的第一步,决定着后续入侵的成功。2、漏洞挖掘 2.1/ 探测Web应用指纹–Discuz、PHPwind、Dedecms、Ecshop… 2.2/ XSS、CSRF、XSIO、SQLinjection、权限绕过、任意文件读取、文件包含… 2.3/ 上传漏洞–截断、修改、解析漏洞 2.4/ 有无验证码–进行暴力破解 2.5/ More…经过漫长的一天,攻击者手里已经掌握了你网站的大量信息以及不大不小的漏洞若干,下一步他们便会开始利用这些漏洞获取网站权限。3、漏洞利用 3.1/ 思考目的性–达到什么样的效果 3.2/ 隐藏,破坏性–根据探测到的应用指纹寻找对应的EXP攻击载荷或者自己编写 3.3/ 开始漏洞攻击,获取相应权限,根据场景不同变化思路拿到webshell4、权限提升 4.1/ 根据服务器类型选择不同的攻击载荷进行权限提升 4.2/ 无法进行权限提升,结合获取的资料开始密码猜解,回溯信息收集5、植入后门 5.1/ 隐蔽性 5.2/ 定期查看并更新,保持周期性6、日志清理 6.1/ 伪装性,隐蔽性,避免激警他们通常选择删除指定日志 6.2/ 根据时间段,find相应日志文件太多太多。。。5说了那么多,这些步骤不知道你看懂了多少?其实大部分的脚本小黑显然不用这些繁琐的步骤,他们只喜欢快感!通常他们会使用各种漏洞利用工具或者弱 口令(admin,admin888)进行攻击,入侵无果就会选择睡觉、打飞机或者去做一些其他的事情。当然,这种“黑客”仅仅是出于“快感”而去想入侵 你的网站,如果是别有它意的人,麻烦就来了。