wordpress 入侵,如何快速搭建Wordpress網站?
首先,WordPress是一個開源的網站博客程序。
您可以去它的官網(cn.wordpress.org)上,下載安裝包到您的虛擬主機上進行安裝。
以下為安裝步驟的圖片,請您收下。
請問如何在wamp環境下實現按端口訪問wordpress和discuz?
修改httpd配置文件中的listen項,添加8088端口,配置discuz的虛擬主機,指向到這個端口,然后重啟即可。
當然也可以配置虛擬主機,這樣都可以用80端口了。
wordpress是個著名的開源網站程序?
對于國外軟件我覺得如果個人小站長可以放心使用,國外軟件哪怕收費也是針對那些大企業收費,大企業更注重版權問題,正如曾經微軟吵得沸沸揚揚維護版權一樣,最終不了了之。
織夢對于剛開始搞網站的確實起到關鍵性作用,國內這里面對版權問題重視起來,不僅僅織夢維權,還有微擎等等都在維權,在開源這條路上其實并不好走,有實力有能力開源長期維護,沒實力的開源都沒人要,最感激的還是論壇開源鼻祖DZ,始終也沒說對個人小站長下手。
wordpress怎樣搭建網站?
想要搭建個人網站,就需要有單獨的服務器,就在阿里云購買了臺服務器,選擇系統為“Ubuntu 14.04.5 LTS”,并在阿里云買了個域名(域名是為了方便記憶,否則輸入ip地址訪問網站很不方便),下面就使用Ubuntu系統搭建WordPress個人網站。
安裝WordPress運行環境
1.安裝Mysql數據庫
apt update
apt upgrade
apt install mysql-server
查看mysql是否安裝成功:
root@iZ2zeeg42qkecbhciml4pcZ:~# mysql --version
mysql Ver 14.14 Distrib 5.5.62, for debian-linux-gnu (x86_64) using readline 6.3
2.安裝PHP
apt-get install software-properties-common
add-apt-repository ppa:ondrej/php
apt update
apt install php7.2
apt install libapache2-mod-php7.2
apt install php7.2-mysql
apt install php7.2-fpm
查看php是否安裝成功:
root@iZ2zeeg42qkecbhciml4pcZ:~# php -v
PHP 7.2.16-1+ubuntu14.04.1+deb.sury.org+1 (cli) (built: Mar 7 2019 20:42:24) ( NTS )
Copyright (c) 1997-2018 The PHP Group
Zend Engine v3.2.0, Copyright (c) 1998-2018 Zend Technologies
with Zend OPcache v7.2.16-1+ubuntu14.04.1+deb.sury.org+1, Copyright (c) 1999-2018, by Zend Technologies
3.安裝Nginx
install nginx
查看Nginx是否安裝成功:
root@iZ2zeeg42qkecbhciml4pcZ:~# nginx -v
nginx version: nginx/1.4.6 (Ubuntu)
重啟Nginx后,在瀏覽器中輸入http://阿里云服務器外網IP地址/
service nginx stop
service nginx start
如果圖片顯示為下圖,說明阿里云服務器自動啟動了apache2的服務,apache2和nginx都使用80端口,80端口沖突。
關閉apache2的服務
重啟php7.2-fpm服務和Nginx服務:
在瀏覽器中輸入http://阿里云服務器外網IP地址/
安裝WordPress及其配置
1.Mysql創建數據庫和用戶:
root@iZ2zeeg42qkecbhciml4pcZ:~# mysql -u root -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 44
Server version: 5.5.62-0ubuntu0.14.04.1 (Ubuntu)
Copyright (c) 2000, 2018, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
mysql> create database 數據庫名稱 character set utf8 collate utf8_general_ci;
Query OK, 1 row affected (0.00 sec)
mysql> grant all on 數據庫名稱.* to '用戶名'@localhost identified by '用戶密碼';
Query OK, 0 rows affected (0.00 sec)
mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.00 sec)
mysql> quit
Bye
root@iZ2zeeg42qkecbhciml4pcZ:~#
2.下載WordPress并安裝:
獲取WordPress軟件:點擊此處
將下載的wordpress-5.0.3-
zh_CN.tar.gz
上傳到云服務器上安裝wordPress:
root@iZ2zeeg42qkecbhciml4pcZ:~# ls
wordpress-5.0.3-zh_CN.tar.gz
root@iZ2zeeg42qkecbhciml4pcZ:~# mv wordpress-5.0.3-zh_CN.tar.gz /var/www/
root@iZ2zeeg42qkecbhciml4pcZ:~# cd /var/www/
root@iZ2zeeg42qkecbhciml4pcZ:/var/www# ls
html wordpress-5.0.3-zh_CN.tar.gz
root@iZ2zeeg42qkecbhciml4pcZ:/var/www# tar -zxvf wordpress-5.0.3-zh_CN.tar.gz
......
root@iZ2zeeg42qkecbhciml4pcZ:/var/www# ls
html wordpress wordpress-5.0.3-zh_CN.tar.gz
root@iZ2zeeg42qkecbhciml4pcZ:/var/www# cd wordpress/
root@iZ2zeeg42qkecbhciml4pcZ:/var/www/wordpress# ls
index.php readme.html wp-admin wp-comments-post.php wp-content wp-includes wp-load.php wp-
mail.php
wp-signup.php xmlrpc.phplicense.txt
wp-activate.php wp-blog-header.php wp-config-sample.php wp-cron.php wp-links-opml.php wp-login.php wp-settings.php wp-trackback.phproot@iZ2zeeg42qkecbhciml4pcZ:/var/www/wordpress# mv wp-config-sample.php wp-
config.php
使用vim命令編輯wp-config.php:
vim wp-config.php
修改文件中的數據庫配置信息,填寫剛才創建的數據庫信息:
/** WordPress數據庫的名稱 */
define('DB_NAME', '數據庫名稱');
/** MySQL數據庫用戶名 */
define('DB_USER', '用戶名');
/** MySQL數據庫密碼 */
define('DB_PASSWORD', '數據庫密碼');
/**
* WordPress數據表前綴。
*
* 如果您有在同一數據庫內安裝多個WordPress的需求,請為每個WordPress設置
* 不同的數據表前綴。前綴名只能為數字、字母加下劃線。
*/
$table_prefix = 'wp_';
在阿里云控制臺將域名解析到指定的服務器上:
控制臺->域名->解析->添加紀錄
配置服務安全組策略,將80(http)端口和443(https)端口開放:
控制臺->云服務器ECS->網絡和安全->安全組->配置規則
配置80端口:
配置443端口:
配置后查看內容:
編輯Nginx配置文件:/etc/nginx/sites-available/default
client_max_body_size 10m;
server {
listen 80;
listen [::]:80;
server_name localhost; #你的域名
root /var/www/wordpress;
index index.php index.html index.htm index.nginx-debian.html;
location / {
# First attempt to serve request as file, then
# as directory, then fall back to displaying a 404.
#try_files $uri $uri/ =404;
try_files $uri $uri/ /index.php?$args;
}
location ~ \.php$ {
# include fastcgi.conf;
include fastcgi_params;
fastcgi_buffer_size 128k;
fastcgi_buffers 32 32k;
#fastcgi_intercept_errors on;
# With php-fpm (or other unix sockets):
fastcgi_pass unix:/var/run/php/php7.2-fpm.sock;
# With php-cgi (or other tcp sockets):
#fastcgi_pass 127.0.0.1:9000;
}
}
重啟Nginx后,在瀏覽器中輸入http://阿里云服務器外網IP地址/
service nginx stop
service nginx start
在瀏覽器中訪問自己的域名,查看是否成功:
到此WordPress就安裝成功了,你可以自行配制您的網站信息。
現在大部分網站容易被入侵嗎?
【現在大部分網站容易被入侵】
你的網站真的堅不可摧?目前的網站可分為三大塊:個人運營、團隊/公司運營、政府運營。
個人網站比例還是很大的,這種網站多數采用開源系統,如博客類:Wordpress、Emlog、Typecho、Z-blog、More...,社區類:Discuz、PHPwind、StartBBS、Mybb等等。團隊/公司網站使用常用的開源CMS比例也是非常大,政府類網站基本上外包開發較多。當然互聯網公司自家產品應用必然都是公司自主開發:淘寶?知乎?豆瓣?太多了。更泛一點的說,分為兩大塊:開源與閉源。能夠有效說明網站偽安全的就是從實戰出發的角度去證明到底是不是真的固若金湯。這里之所以講到入侵方法不是為了教大家如何入侵網站,而是了解入侵的方法多種多樣,知己知彼才能百戰不殆。菜刀能夠用來切菜,同樣也能夠用來殺人。黑客們入侵網站普遍的手法/流程:1、信息收集 1.1/ Whois信息--注冊人、電話、郵箱、DNS、地址 1.2/ Googlehack--敏感目錄、敏感文件、更多信息收集 1.3/ 服務器IP--Nmap掃描、端口對應的服務、C段 1.4/ 旁注--Bing查詢、腳本工具 1.5/ 如果遇到CDN--Cloudflare(繞過)、從子域入手(mail,postfix)、DNS傳送域漏洞 1.6/ 服務器、組件(指紋)--操作系統、web server(apache,nginx,iis)、腳本語言 1.7/ More...通過信息收集階段,攻擊者基本上已經能夠獲取到網站的絕大部分信息,當然信息收集作為網站入侵的第一步,決定著后續入侵的成功。2、漏洞挖掘 2.1/ 探測Web應用指紋--Discuz、PHPwind、Dedecms、Ecshop... 2.2/ XSS、CSRF、XSIO、SQLinjection、權限繞過、任意文件讀取、文件包含... 2.3/ 上傳漏洞--截斷、修改、解析漏洞 2.4/ 有無驗證碼--進行暴力破解 2.5/ More...經過漫長的一天,攻擊者手里已經掌握了你網站的大量信息以及不大不小的漏洞若干,下一步他們便會開始利用這些漏洞獲取網站權限。3、漏洞利用 3.1/ 思考目的性--達到什么樣的效果 3.2/ 隱藏,破壞性--根據探測到的應用指紋尋找對應的EXP攻擊載荷或者自己編寫 3.3/ 開始漏洞攻擊,獲取相應權限,根據場景不同變化思路拿到webshell4、權限提升 4.1/ 根據服務器類型選擇不同的攻擊載荷進行權限提升 4.2/ 無法進行權限提升,結合獲取的資料開始密碼猜解,回溯信息收集5、植入后門 5.1/ 隱蔽性 5.2/ 定期查看并更新,保持周期性6、日志清理 6.1/ 偽裝性,隱蔽性,避免激警他們通常選擇刪除指定日志 6.2/ 根據時間段,find相應日志文件太多太多。。。5說了那么多,這些步驟不知道你看懂了多少?其實大部分的腳本小黑顯然不用這些繁瑣的步驟,他們只喜歡快感!通常他們會使用各種漏洞利用工具或者弱 口令(admin,admin888)進行攻擊,入侵無果就會選擇睡覺、打飛機或者去做一些其他的事情。當然,這種“黑客”僅僅是出于“快感”而去想入侵 你的網站,如果是別有它意的人,麻煩就來了。