在网站设置中，“配置文件”配置一下就行了

一个网站好像客户是用THINKPHP框架做的，当初是如何到我们这边的不是太清楚。这里需要整合即将到期的这台服务器到已有的服务器中，反正一个小网站又没有流量，占用一台服务器太浪费。 因为这个网站是有.htaccess伪静态的，所以我去找一台配置过Apache的服务器。找呀找，终于找到了，因为一般的服务器我们都是配置的Nginx。正常的迁移数据和解析之后发现是无法打开的，看到其目录是这样子的。 这个网

使用Windows系统且自己配置的宝塔面板，其中有三个网站无法打开网站。具体我也没有问是不是之前可以打开的，估计之前是可以打开的，要不怎么可能建三个网站在上面都无法打开，那建了干嘛。一般我们使用服务器较多的是用Linux系统，我远程登录到服务器后看到这个朋友桌面在用火车头采集，估计是自动采集入库更新网站用的。 这里老蒋看到运行是正常的，虽然宝塔主面板关闭，但是这个不影响WEB系统的运行。那问题出在

宝塔面板安装的PHP没有默认隐藏版本号，比如说这样的： 网络技术应用研究公司 W3Techs 近日表示，根据所有网站使用 PHP 版本的情况，从 2019 年 1 月 1 日起，有近 62％ 的网站将会因为无法获得安全更新，而受到恶意攻击。 根据 W3Techs 的调查，从本月 15 日开始，其研究的网站样本中使用的 PHP 的比例高达 ％，使用 PHP 5 的网站的比例达到 ％。 在子版本中，使

ThinkPHP5是一款十分流行的PHP框架，很多公司都基于TP开发。但是由于Pathinfo()的设置，使得TP5的框架在Nginx下会报404错误。如果你配置在根目录下，则是502，如果你配置在Public下，则是只有首页能显示，其他页面全都是404。 这里，需要调整一下Nginx的conf规则，需要注意的是，调整的是Nginx对于这个网站的规则，而不是调整整个的规则。比如网站目录是abc,域

使用第三方软件库通常会降低开发的时间，但同时也会增加网站暴露出的攻击表面，对此我们应有充分的认识。因此需要保持第三方软件库的最新版本依赖，以便从安全更新中获益。即便如此，一份近期研究表明，在Alexa排名前7.5万名的网站中，有37%的网站至少存在一处漏洞，近10%的网站至少存在两处漏洞。举个例子，在导入了jQuery软件库的网站中，有36.7%使用的是存在着漏洞的版本；在使用Angular的网站

如果发现自己网站被黑了，改如何解决呢？ 以下为百度官方的《网站被黑操作指南》： 一、首先自查站点是否被黑 1.通过百度搜索资源平台的“网站体检工具”，可以对网站各项指标进行安全检测，排查网站的安全隐患。 2.被黑网站在数据上有一个特点，即索引量和从搜索引擎带来的流量在短时间内数据异常。所以，站长可以利用百度搜索资源平台的索引量工具，观察站点索引量是否有异常；如果发现数据异常，再通过流量与关键词工具

XSS 的漏洞类型主要分为三类：反射型、存储型、DOM型，在本篇文章当中会以permeate生态测试系统为例，分析网站功能，引导攻击思路，帮助读者能够快速找出网站可能存在的漏洞。 反射型 XSS 挖掘 现在笔者需要进行手工XSS漏洞挖掘，在手工挖掘之前笔者需要先逛逛网站有哪些功能点，如下图是permeate的界面 思路分析 我们知道反射型 XSS ，大多是通过 URL 传播的，那么我就需要思考哪些

ecshop漏洞于2018年9月12日被某安全组织披露爆出，该漏洞受影响范围较广，ecshop2.73版本以及目前最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影响，主要漏洞是利用远程代码执行sql注入语句漏洞，导致可以插入sql查询代码以及写入代码到网站服务器里，严重的可以直接获取服务器的管理员权限，甚至有些网站使用的是虚拟主机。 可以直接获取网站ftp的权限，该漏洞POC已公开，使

手机TIM收到一个企业网站客户信息，告知其某个网站打开之后直接跳转到非他们的网站。通过QQ备注知道这个企业网站客户是去年还是前年的时候通过谁谁谁准备让我们给重新做网站的，最后没有让做。但是自带的三个网站搬迁到我们这边服务器让管理。 本身解决这个问题的业务不属于我们管理范畴，因为客户每年只支付三个网站的虚拟主机费用，并没有提供确保网站安全管理，之前有看到这个客户网站，其程序是直接套用的网上免费自助建

0×00 背景 网站为了实现加速访问，会将用户访问过的页面存入缓存来减小数据库查询的开销。而Thinkphp5框架的缓存漏洞使得在缓存中注入代码成为可能。（漏洞详情见参考资料） 本文将会详细讲解： 1. 如何判断缓存漏洞存在的可能性 2. 如何利用Thinkphp5的框架漏洞结合网站的一些配置实现前台getshell 希望可以给予读者一些关于漏洞应用的启发。 0×01 环境 测试环境 1.某基于搭

如今流量劫持、数据泄漏、钓鱼欺诈等安全问题层出不断，网站启用SSL证书实现HTTPS加密已经成为一种潮流，通过安装SSL证书可以保护网站的数据传输安全，向用户证明网站的真实身份，网民可以通过SSL证书的展示信息，判断一个网站的安全性、真实性和合法性。 HTTPS加密已经成为网民比较熟悉的、判断网站安全性的有效依据之一。然而，当进行在线支付、网银交易等涉及资金安全的敏感操作时，仅看HTTPS还不够，

以下提示将为您提供保护您的网站免受恶意攻击并保护您的数据和内容安全的知识。 1.暴力攻击 很容易想象有人试图使用暴力破坏家庭的前门。如果强盗付出足够的努力，他们最终会成功，让你的门成为碎片。 技术领域的暴力攻击非常相似：黑客使用自动化软件反复尝试猜测你的WordPress用户名和密码，直到他们成功入侵你的网站。他们会经常使用500个最常用密码的列表，在您的网站的WordPress登录页面上尝试每个

什么是 JavaScript 注入攻击？ 每当接受用户输入的内容并重新显示这些内容时，网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时，反馈信息重新显示在反馈页面上。 客户反馈网站是一个简单的网站。不幸的是，此网站容易遭受 JavaScri

开源管理系统虽然使用方便，但漏洞也比较多。我们应该时时提高警惕心，做好网站的防护安全。今天，这篇文章将系统告诉大家如何预防和处理网站被黑 一、如何查询网站被黑 1、通过查收录 site:网站域名，查看是否有异常的页面。 2、通过查数据 通过百度搜索资源平台，查看索引量，是否有异常的变化。 3、通过查源代码 4、通过站长工具—友情链接，站长工具—机器人模拟抓取，或者站长工具—网站被黑检测查看 二、常

没有网站安全系统是 100% 防黑客入侵的，但您可以采取大量措施来防止黑客入侵以及随之而来的破坏性后果。 您可以关闭易受攻击的点并保护常见的目标区域，这样黑客就会发现攻击您的网站非常困难。 我们将向您展示强化 WordPress 网站的最简单方法。我们还将为您提供最佳实践，以避免使您的网站易受攻击。 强化 WordPress 网站的最简单方法 WordPress 强化措施包括一次性步骤以及需要定期

首先出现的问题是：WORDPRESS网站后台登录，成功，却又返回登录界面。 （现在回看这个问题，可能是空间不足的原因造成，后面的操作中，有用宝塔面板后台清除网站的LOG日志接近4G。） 于是打开宝塔面板后台，重启一下。 重点来了，我点的是：重启服务器。 （尽量别重启服务器，后面MYSQL不能正常工作的原因，可能与此有关） 结果倒好，原来只是网站后台不能登录 ，现在网站则是打不开了。 不得已，跑到云

当我们网站启用流量统计后，如百度统计什么的，后期我们发现统计数据里有除了正常的搜索词以外，还有一些广告词，这些词跟我们的网站没有任何关系，起初我也没管它，后来广告词越来越多，这种方式，专业名词教“统计搜索攻击”，目前百度还没有更为细节的说明，下面我们来看看统计搜索攻击(搜索攻击)的效果展示： 统计搜索攻击原理说明： 其原理就是通过脚本，利用WordPress搜索结构不断对我们的网站进行访问，不仅仅

互联网络几乎每天都会有网站被攻击、被黑，网站要避免被攻击很难，但通过做好 WordPress 网站的防护，可以最大限度地避免网站被攻破，所以尽可能地提高网站的安全性，降低网站被黑的可能性。当然并非所有WordPress用户都能自己做网站安全防护工作，在此推荐一款优秀的 WordPress 安全插件 iThemes Security，这是款在 WordPress 官网下载量超百万的WordPress

如果你是一个香港VPS服务器的管理员，你可能会遇到一些不良用户或者恶意攻击者，这些人会尝试通过不断的访问和攻击你的网站来破坏你的网站的运行。如何保护你的网站，你需要使用一些方法来屏蔽这些指定的访客IP。 首先，你需要了解如何获取这些访客的IP地址。你可以通过分析日志文件或者使用一些网站统计工具来获取访客的IP地址。在了解了这些IP地址之后，你可以使用一些方法来屏蔽这些IP地址。 第|一种方法是使用