dedecms 权限,或者Phpwind而不用WordPress
dedecms 权限,或者Phpwind而不用WordPress?
这问题挺有意思的,聊聊自己的看法。
因为公司业务涉及到这块,所以对WP和其他很多建站程序都有接触,也都有一些自己的看法。国内WP的使用率至少在中小企业不算很高。这并不是说WP不好,中间的原因还是比较复杂的。首先来说,中小企业建站很少会选择自己找程序开发,都是找建站公司,而建站公司用WP不多。建站公司一般是自己写一套后台出来,然后按年付费。做过建站这个生意的都知道,对中小企业这种客户来说,建站往往都是一次性消费。什么意思呢,就是没有后续续费的可能性。那怎么解决这个问题呢?让网站持续依赖建站公司就可以了。WP是完全开源且独立的程序,不需要按年去支付程序源码,一次建站之后还想做后续的生意,就只能做衍生出来的业务,比如网站推广、网站SEO之类的。但是,这些服务对很多中小企来说也是浅尝辄止,第一年可能觉得新鲜,就花钱做了,但是第二年,第三年往往都会断掉。况且现在很多建站公司也不怎么做这些生意,搞一套源码出来,让用户按年续费,比辛辛苦苦做服务舒服多了。那可以不续费吗?有这个可能,但是不高。网站一旦建设完成,就意味着你所有的对外宣传资料都在里面,想彻底放弃不要,当然可以,那你就要重新再做一个网站,然后循环这个过程。换个角度想,每年几千块的续费好像也不是那么多,多一事不如少一事,花钱买安心,也没什么不可以的。说回WP,WP在国内并不是没人用,接触到的很多大型企业、集团网站几乎都是WP出来的。独立性强,可控性比较强。建站一般是单独立项,就是比如说我要做一个网站,好,你们这几家公司按照我的要求给我报价,我觉得哪家好就选哪家。网站做好之后也不用去开发什么衍生服务,做好之后连带服务器权限、网站权限、源码一并交接,项目就结束了。不存在什么后续续费的事情,这种合作模式相对来说就简单、纯粹很多。但是这种模式中小企业很少用,都是图省事,网上找一个建站公司,直接就花钱做了,就是上面说的那个循环。当然,讲这些不是在否定一些建站公司的运营模式,也没有刻意拔高WP系统。建站公司的这种运营模式本身并没有什么问题,明码标价就是正规生意。而且在市场不太好的情况下,也能够保证公司相对稳定的收入。毕竟看事情我们不能完全从企业角度来,也要让服务商有生存空间。另一个,WP系统有优点,当然也有一些问题。比如说,WP很多东西都没有很好的中文适配,包括插件、模板等等,这对企业接收之后的维护人员有一定的要求,至少你要看得懂,或者能够找到相关设置在哪里修改才行。这是WP国内普及一个最大的问题。另一个,WP和国内主流的搜索引擎应该还没有建立很好的合作关系。大陆不是海外,百度也不是谷歌,如果没有想明白这句话,就是对搜索市场还不够了解。为什么做网站?还不是希望更多人能看到自己的公司么,那这就必然牵扯到后续网站在搜索引擎中的排名问题。那么问题就来了,以百度为首的搜索引擎,并不是谷歌,也不会按照谷歌的算法思路走。百度现在走的是适应大陆市场的发展路线:在内容上收紧管控权,做一个内容生态。注意,这里说的是内容生态,不是搜索引擎。你可以理解为百度现在或者将来要做的,不是搜索引擎,而是一个平台,比如知乎、比如今日头条一样的平台。那回到问题本身,如果想在生态中获得更大的收益,就需要你成为生态的一部分。怎么成为呢?要么被收编、要么合作。但是这两点目前看WP都没有,或者说人家压根就不想这么干。在谷歌看来,网站和搜索引擎是相对独立存在的,主权对等。但是在百度看来,网站要逐渐变为搜索引擎内部的一个组成部分,势必要被收编改造。这点从百度最近几年的动作就可以看得出来。从熊掌号到百家号再到企业百家号,再到后来的百度AIpage,甚至于百度的竞价体系、基木鱼、子产品爱采购,都是这个目的。我们不能说这样不好,但是已经造成了市场的改变。改变不了的,就慢慢改。说回WP系统,没有这层合作关系,在一些数据对接上也能做,但是总隔着一层东西。人家点点鼠标就能同步的东西,你就要老老实实跳转几个后台去做。当然,这也能理解,用了人家的地没给钱,总不能指望着人家还敲锣打鼓地欢迎你不是,不把你赶出去就烧香拜佛了。没有无效的推广,只有没选对的方法!
我是Dora,10年推广服务经验,为7-Eleven、微软、腾讯等集团提供营销顾问服务。推广不走弯路,帮你找到适合自己的渠道,有问题咨询欢迎私信。1、提供SEO策略方案制定、企业推广现状评估;2、谷歌seo实战方法,让独立站流量突破瓶颈;3、分享海外推广、流量市场走势、出海推广操盘策略;现在大部分网站容易被入侵吗?
【现在大部分网站容易被入侵】
你的网站真的坚不可摧?目前的网站可分为三大块:个人运营、团队/公司运营、政府运营。
个人网站比例还是很大的,这种网站多数采用开源系统,如博客类:Wordpress、Emlog、Typecho、Z-blog、More...,社区类:Discuz、PHPwind、StartBBS、Mybb等等。团队/公司网站使用常用的开源CMS比例也是非常大,政府类网站基本上外包开发较多。当然互联网公司自家产品应用必然都是公司自主开发:淘宝?知乎?豆瓣?太多了。更泛一点的说,分为两大块:开源与闭源。能够有效说明网站伪安全的就是从实战出发的角度去证明到底是不是真的固若金汤。这里之所以讲到入侵方法不是为了教大家如何入侵网站,而是了解入侵的方法多种多样,知己知彼才能百战不殆。菜刀能够用来切菜,同样也能够用来杀人。黑客们入侵网站普遍的手法/流程:1、信息收集 1.1/ Whois信息--注册人、电话、邮箱、DNS、地址 1.2/ Googlehack--敏感目录、敏感文件、更多信息收集 1.3/ 服务器IP--Nmap扫描、端口对应的服务、C段 1.4/ 旁注--Bing查询、脚本工具 1.5/ 如果遇到CDN--Cloudflare(绕过)、从子域入手(mail,postfix)、DNS传送域漏洞 1.6/ 服务器、组件(指纹)--操作系统、web server(apache,nginx,iis)、脚本语言 1.7/ More...通过信息收集阶段,攻击者基本上已经能够获取到网站的绝大部分信息,当然信息收集作为网站入侵的第一步,决定着后续入侵的成功。2、漏洞挖掘 2.1/ 探测Web应用指纹--Discuz、PHPwind、Dedecms、Ecshop... 2.2/ XSS、CSRF、XSIO、SQLinjection、权限绕过、任意文件读取、文件包含... 2.3/ 上传漏洞--截断、修改、解析漏洞 2.4/ 有无验证码--进行暴力破解 2.5/ More...经过漫长的一天,攻击者手里已经掌握了你网站的大量信息以及不大不小的漏洞若干,下一步他们便会开始利用这些漏洞获取网站权限。3、漏洞利用 3.1/ 思考目的性--达到什么样的效果 3.2/ 隐藏,破坏性--根据探测到的应用指纹寻找对应的EXP攻击载荷或者自己编写 3.3/ 开始漏洞攻击,获取相应权限,根据场景不同变化思路拿到webshell4、权限提升 4.1/ 根据服务器类型选择不同的攻击载荷进行权限提升 4.2/ 无法进行权限提升,结合获取的资料开始密码猜解,回溯信息收集5、植入后门 5.1/ 隐蔽性 5.2/ 定期查看并更新,保持周期性6、日志清理 6.1/ 伪装性,隐蔽性,避免激警他们通常选择删除指定日志 6.2/ 根据时间段,find相应日志文件太多太多。。。5说了那么多,这些步骤不知道你看懂了多少?其实大部分的脚本小黑显然不用这些繁琐的步骤,他们只喜欢快感!通常他们会使用各种漏洞利用工具或者弱 口令(admin,admin888)进行攻击,入侵无果就会选择睡觉、打飞机或者去做一些其他的事情。当然,这种“黑客”仅仅是出于“快感”而去想入侵 你的网站,如果是别有它意的人,麻烦就来了。
如何更新自己的网站?
看你用的是什么网站管理系统了,更新一般在网站后台更新。 常见的网站管理系统有,dedecms、discuz、帝国、ECShop、 phpwind、WordPress等等。 如果是dedecms、ecshop、WordPress等的就是在网站后台更新文章。 像diasuz、phpwind、帝国等前台后台都行。 如果是其他网站程序,一般都是在网站后台更新文章。 文章的更新一般要一定的管理权限的。
香港服务器的防御如何?
Web服务器配置安全是网站运营部门最关心的问题之一,很多租用香港服务器的用户表示,网站总是被别人冒用谷歌或者搜狗IP扫描网站,导致网站运行与日志文件占比99%以上。频发的网络攻击表明Web服务器是最容易被黑客针对攻击的地方。这可能是网站系统漏洞,而且攻击者在扫描网站后,会立马删除文件,所以我们压根很难找到隐藏文件。
web服务器配置会出现的漏洞介绍:SQL注入漏洞、XSS跨站脚本漏洞可能会导致:钓鱼欺骗、网站挂马、身份盗用、网站用户信息被盗用(像qq被盗用群发一些虚假、借款、色情信息给朋友)、劫持用户Web行为、XSS蠕虫用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS攻击,像很多色情网站可以做到免广告,就是通过海量的点击浏览量来挖矿,贩卖你身份信息。
清马+修补漏洞=彻底解决所谓的挂马,就是heike通过各种手段,包括SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day, 等各种方法获得网站管理员账号,然后登陆网站后台,通过数据库 备份/恢复 或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容,向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP,然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒。
web服务器被攻击的解决方案:网站被被攻击了,首先查看网站的服务器,当我们发现网站被攻击的时候不要过度惊慌失措,先查看一下网站服务器是不是被黑了,找出网站存在的黑链,然后做好网站的安全防御,具体操作分为三步:1、开启IP禁PING,可以防止被扫描、2、关闭不需要的端口、3、打开网站的防火墙、删除不必要的服务。
默认操作系统安装和配置往往不是安全的。一个典型的默认安装包含许多网络服务,比如我们安装dede后台的时候,通过修改后台文件名防范,在选择应用ftp服务器上传文件的时候,避免,更多的端口打开,可以每次使用完了以后再选择可修改变量等操作。
提示:为了网站安全性,可以在每次修改完后关掉操作权限。屏蔽Web应用程序文件谢绝修改,权限设置为只可读。监控和审计Web服务器。
这些是只能防简单的攻击,网站为什么会被黑,网站挂马是每个站长最头痛的问题,个人认为网站被黑的原因一般分为两种。第一种是服务器空间商的安全,导致被牵连。第二种就是网站程序的安全自身的程序安全漏洞被黑被入侵被挂马。有条件的话可以找专业做安全的去看看. 公司的话可以去Sine安全看看听朋友说不错。一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了。
解决办法:
在程序中很容易找到挂马的代码,直接删除,或则将你没有传服务器的源程序覆盖一次但反反复复被挂就得深入解决掉此问题了。找专业的程序员解决是最直接的,当然有钱还是配置好的香港高防服务器了,Juniper SRX防火墙安全可靠,百G级别防御确,复合智能防御策略高效防护。因为解决海量攻击的最好办法就是,深淘滩,低作堰,通过更大的流量保护正常流量!
cms到底怎么样?
首先可以明确的告诉你,DedeCMS的0day漏洞很多,而且也有一年多时间没有维护了。所以网上“流传”DedeCMS不安全、漏洞多是真实的情况,但这也洽洽说明dedecms在以前的确很火。
DedeCMS后台功能上是很齐全的,而且操作起来简单,用来二次开发也比较容易,所以在前几年受到不少套网站的程序员的热爱。正因为如此,再加上它是开源的,所以不少人发现漏洞后就开始攻击基于这款CMS的网站,每次一曝出漏洞,受到影响的网站很多。
考虑到现在官方也没维护了,所以建议大家选择其它CMS,比如PHPCMS在安全性上就给DedeCMS要好得多;而且现在PHP版本都比较高了,DedeCMS在这些高版本的PHP环境下运行会存在一些兼容性问题。
如果你的网站现在用的就是DedeCMS那建议作好安全加固措施,比如:
若网站没有交互,可以全站生成静态页,然后静态页单独部署,将后台和前台分离,这样别人无法攻击动态脚本;
源码目录权限严格控制,避免权限过大导致的非法文件可以上传或者可执行。
综上,DedeCMS不建议选择。
以上就是我的观点,对于这个问题大家是怎么看待的呢?欢迎在下方评论区交流 ~ 我是科技领域创作者,十年互联网从业经验,欢迎关注我了解更多科技知识!
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: dedecms 权限,或者Phpwind而不用WordPress
本文地址: https://pptw.com/jishu/41097.html