Warning: error_log(/data/www/wwwroot/hmttv.cn/caches/error_log.php): failed to open stream: Permission denied in /data/www/wwwroot/hmttv.cn/phpcms/libs/functions/global.func.php on line 537 Warning: error_log(/data/www/wwwroot/hmttv.cn/caches/error_log.php): failed to open stream: Permission denied in /data/www/wwwroot/hmttv.cn/phpcms/libs/functions/global.func.php on line 537 欧美一级做一a做片性视频,久久精品免费在线观看,最近中文字幕完整版视频1 

      

        

          



          
	
          
		
          
			
			
          
				
          整合營銷服務(wù)商
          
				
          電腦端+手機端+微信端=數(shù)據(jù)同步管理
          
			
          
			
          				
				
          免費咨詢熱線:
          			
			
          
		
          
	
          
		
	
	
	

          


          
	

          

 

          
  
          
    
          
      
          
        
          WordPress標簽聚合頁優(yōu)化思路分享
          
        
           
          
	
	
          
		WordPress標簽聚合頁優(yōu)化思路分享
          
                        
          最近子凡給淚雪網(wǎng)做了非常多的技術(shù)優(yōu)化,而所有的技術(shù)優(yōu)化都是為了給 WordPress 網(wǎng)站的各個頁面得到更好的 SEO 優(yōu)化,那么今天來給大家分享一下我是怎么針對 WordPress 標簽聚合頁面做的 SEO 優(yōu)化,由于實際操作設(shè)計修改 WordPress 主題的 tag.php 文件和其它代碼,所以子凡這里就只能分享一個優(yōu)化思路,給大家一個參考。

          首先標簽聚合頁面的優(yōu)化能夠給網(wǎng)站帶來非常不錯的排名,但是想要做好一個聚合頁面確實需要好好的折騰一番,畢竟搜索引擎喜歡的聚合頁面肯定不是空曠的一個標簽頁,那么作為標簽頁就得需要有足夠的內(nèi)容,百度已經(jīng)有相關(guān)的算法針對短缺的頁面,簡而言之就是頁面內(nèi)容過短是不會被搜索引擎喜歡的。
          對于一般的中小網(wǎng)站來說,想要給一個標簽建立到足夠的內(nèi)容是不太可能的,當然也不可能給所有相關(guān)的文章都設(shè)置上非常完善的標簽,那么如何把一個標簽頁面豐富完善起來呢?
          1、給 WordPress 標簽添加關(guān)鍵詞、描述,有開發(fā)能力的還可以添加標簽圖片;
          2、給 WordPress 標簽頁面文章列表做增強添加,例如在 WordPress 列表循環(huán)中判斷標簽內(nèi)容后,但是不夠當前頁面的內(nèi)容時,通過 wp_query 自定義搜索標簽關(guān)鍵詞的結(jié)果來補充標簽列表頁面;
          3、還可以通過自定義給 WordPress 標簽設(shè)置的關(guān)鍵詞作為搜索詞來補充標簽頁面文章列表。
          簡而言之就是需要給 WordPress 后臺標簽添加一個關(guān)鍵詞字段,便于在后臺單獨給標簽頁面設(shè)置關(guān)鍵詞,然后標簽頁面的結(jié)果還可以通過標簽本身和給標簽設(shè)置關(guān)鍵詞來自定義搜索完善標簽頁面的文章列表。
          好啦,廢話就不多說了,以上就是子凡給淚雪網(wǎng)所做的關(guān)于標簽聚合頁優(yōu)化的一些實操思路,希望能夠幫助大家更好的優(yōu)化自己的 WordPress 網(wǎng)站,當然也算是對 WordPress 開發(fā)者如果做好標簽頁面優(yōu)化的一個優(yōu)化思路。
          除非注明,否則均為淚雪博客原創(chuàng)文章,禁止任何形式轉(zhuǎn)載
          本文鏈接:https://zhangzifan.com/wordpress-tag-seo.html

           
          html網(wǎng)頁上傳到網(wǎng)站根目錄下
           本人通過寶塔面板上傳,wordpress的根目錄一般為/www/wwwroot/wordpress/,表示網(wǎng)址打開的網(wǎng)站就在此目錄下。如果為單個網(wǎng)頁,只要將html網(wǎng)頁上傳到此目錄下即可,假設(shè)網(wǎng)頁為10.html,直接放到wordpress根目錄,網(wǎng)址就是www.xxx.com/10.html。如果為多個網(wǎng)頁,那么可以在根目錄下新建一個文件夾,再將網(wǎng)頁上傳到此新建文件夾下,網(wǎng)址中增加文件夾名。
          如上圖所示,我在根目錄下新建文件夾suanshu,然后再將10.thml、20.html和100.html 這3個網(wǎng)頁上傳到suanshu文件夾,然后網(wǎng)址分別為www.joephy.com/suanshu/10.html
          www.joephy.com/suanshu/20.html
          www.joephy.com/suanshu/100.html
          另外,在wordprss后臺,可以通過菜單的方式將網(wǎng)址添加到菜單項方便使用。
          個月,我公布了一個WordPress 5.0中需要權(quán)限遠的程執(zhí)行代碼漏洞。而這篇文章我將揭示一個在WordPress 5.1中的另一條漏洞利用鏈,它能使未經(jīng)授權(quán)的攻擊者在WordPress 5.1.1之前的任何WordPress網(wǎng)站上進行遠程代碼執(zhí)行。
          影響
          攻擊者可以通過誘騙目標網(wǎng)站的管理員訪問攻擊者所控制的網(wǎng)站來接管任何啟用了評論功能的WordPress網(wǎng)站。
          一旦目標網(wǎng)站管理員訪問攻擊者所控制的惡意網(wǎng)站,就會受到一個CSRF攻擊,而且不會引起到受害者的注意。這個CSRF漏洞利用了多個邏輯缺陷和代碼錯誤,最終會導(dǎo)致遠程執(zhí)行代碼,導(dǎo)致受害者的網(wǎng)站被接管。
          這些漏洞存在于5.1.1之前的WordPress版本中,默認設(shè)置下就會生效。
          根據(jù)統(tǒng)計,全球33%的網(wǎng)站都使用WordPress。考慮到評論是博客的核心功能并且在默認情況下啟用,預(yù)計該漏洞會影響數(shù)百萬個網(wǎng)站。
          技術(shù)分析
          評論功能的CSRF漏洞可導(dǎo)致HTML代碼注入
          當用戶發(fā)布新評論時,WordPress并不會進行CSRF檢查。因為這可能會影響到某些WordPress特性,如trackbacks 和 pingbacks。這意味著攻擊者可以通過CSRF攻擊假借WordPress網(wǎng)站管理員的名義發(fā)表評論。
          而這就會形成另一個安全問題,因為WordPress網(wǎng)站的管理員可以在評論中插入任意HTML代碼,甚至是前端腳本。從理論上講,攻擊者可利用CSRF漏洞來往頁面插入惡意的前端代碼。
          對于以上問題,WordPress嘗試通過為管理員生成額外的隨機數(shù)來解決。當管理員提交評論并附帶有效的隨機數(shù)時,評論將會不經(jīng)過安全檢查就直接發(fā)布。如果提供的隨機數(shù)無效,則評論仍會發(fā)布,但會對評論進行安全檢查。
          以下的代碼顯示了WordPress核心代碼是如何處理的:
          /wp-includes/comment.php(簡化代碼)
 ?
 if ( current_user_can( 'unfiltered_html' ) ) {
 if (! wp_verify_nonce( $_POST ['_wp_unfiltered_html_comment'], 'unfiltered-html-comment' )) {
 $_POST['comment']=wp_filter_post_kses($_POST['comment']);
 }
 } else {
 $_POST['comment']=wp_filter_kses($_POST['comment']);
 }
 ?

          自2009年以來,WordPress網(wǎng)站評論CSRF保護就不存在。
          但是,我們在對管理員的安全檢查流程中發(fā)現(xiàn)了一個邏輯漏洞。正如你在上面的代碼片段中所看到的,普通用戶的評論始終會通過wp_filter_kses()的安全檢查,而當擁有unfiltered_html功能的管理員發(fā)表評論時,則不需要。接著,如果管理員不能提供有效的隨機數(shù),則使用wp_filter_post_kses()函數(shù)來進行安全檢查。
          wp_filter_post_kses()和wp_filter_kses()兩個安全檢查函數(shù)的在區(qū)別在于嚴格程度。一般來說,wp_filter_kses()只允許使用基本的HTML標記,例如<a>。
          當然,雖然wp_filter_post_kses()更寬松,但仍會刪除任何可能導(dǎo)致跨站點腳本的HTML標記和屬性。
          將HTML注入升級為存儲型XSS
          此時,我們需要找到以管理員身份注入XSS的辦法。經(jīng)過嘗試后,我利用某些屬性的解析錯誤,成功得到一個存儲型XSS。
          在安全檢查函數(shù)處理管理員評論時,出于優(yōu)化SEC的目的,它會修改<a>標簽。
          它會把<a>的屬性href="#" title="some link" rel="nofollow"解析為關(guān)聯(lián)數(shù)組,其中key是屬性的名稱,值是屬性值。
          wp-includes/formatting.php
 function wp_rel_nofollow_callback( $matches ) {
 $text=$matches[1];
 $atts=shortcode_parse_atts($matches[1]);
 ?

          接著,WordPress會檢查rel屬性是否被設(shè)置。只有在通過wp_filter_post_kses()安全檢查時這個值才會被設(shè)置。如果是,則會和<a>標記重新組合在一起。
          wp-includes/formatting.php
 if (!empty($atts['rel'])) {
 // the processing of the 'rel' attribute happens here
 ?
 $text='';
 foreach ($atts as $name=> $value) {
 $text .=$name . '="' . $value . '" ';
 }
 }
 return '<a ' . $text . ' rel="' . $rel . '">';
} 

          從上述代碼片段可以看出,其中屬性值被連接在一起而沒有經(jīng)過轉(zhuǎn)義。
          因此,攻擊者可以創(chuàng)建包含惡意代碼的<a>,例如,將title設(shè)置為title='XSS " on mouseover=alert(1) id="'。這個字符串是可以通過安全檢查的。但是,此時被title標簽使用單引號包圍起來了。
          而當屬性重新組合在一起時,title屬性的值會以雙引號括起來。這意味著攻擊者可以通過注入額外的雙引號來逃逸。
          例如:
          注意,以上<a>的拼接是在安全檢查后。所以,攻擊者已經(jīng)攻擊成功,把存儲型XSS插入網(wǎng)站中。
          通過內(nèi)框架執(zhí)行XSS
          在攻擊者能用CSRF以管理員身份往評論中插入XSS后,由于缺乏X-fr ame-Options的保護,攻擊者可以往目標網(wǎng)站插入一個隱藏的<if rame>,里面包含帶有XSS代碼的評論。這樣,所有的攻擊都是隱藏執(zhí)行,管理員很難注意到。
          升級為遠程執(zhí)行代碼
          此時,我可以使用管理員身份執(zhí)行任意前端代碼,輕松實現(xiàn)遠程代碼執(zhí)行。默認情況下,WordPress允許管理員直接編輯主題和插件的.php文件。通過簡插入簡單的PHP后門,攻擊者就可以獲得任意PHP代碼執(zhí)行。
          補丁
          默認情況下,WordPress會自動安全更新,你應(yīng)該已經(jīng)運行了最新版本5.1.1。如果你的WordPress網(wǎng)站出于某種原因禁用了自動更新功能,你還可禁用評論。最重要的是,請務(wù)必在訪問其他網(wǎng)站之前注銷管理員身份。
          時間線
          2018年10月24日 發(fā)現(xiàn)可以通過CSRF向WordPress注入更多的HTML標簽。
          2018年10月25日 WordPress回應(yīng)了Hackerone的報告。
          2019年2月5日 WordPress提出補丁,我們及進行驗證。
          2019年3月1日 通知WordPress,我已將TML注入升級到存儲的XSS漏洞。
          2019年3月1日 WordPress通知我們,WordPress安全團隊的成員已經(jīng)發(fā)現(xiàn)了問題,并且已準備好補丁。
          2019年3月13日 WordPress 5.1.1版本發(fā)布
          我們要感謝WordPress的安全團隊,他們在這個漏洞的合作時表現(xiàn)非常友好并且專業(yè)。
          本文由白帽匯整理并翻譯,不代表白帽匯任何觀點和立場
          來源:https://nosec.org/home/detail/2345.html
          原文:https://blog.ripstech.com/2019/wordpress-csrf-to-rce/
          白帽匯從事信息安全,專注于安全大數(shù)據(jù)、企業(yè)威脅情報。
          公司產(chǎn)品:FOFA-網(wǎng)絡(luò)空間安全搜索引擎、FOEYE-網(wǎng)絡(luò)空間檢索系統(tǒng)、NOSEC-安全訊息平臺。
          為您提供:網(wǎng)絡(luò)空間測繪、企業(yè)資產(chǎn)收集、企業(yè)威脅情報、應(yīng)急響應(yīng)服務(wù)。
                              	
          
	
	

          

          

 
          
        
        
		  
      
          
      
      
          
    
          
  
          

          



 


			
		





          
  
          
    
  
          

          

          
	
          
		
		
		
          
	
          


          
 

 







主站蜘蛛池模板:
夜夜嗨AV一区二区三区|
国产精品分类视频分类一区|
日韩精品乱码AV一区二区|
国产一区二区在线观看麻豆|
亚洲AV美女一区二区三区|
在线不卡一区二区三区日韩|
无码人妻精品一区二区三区东京热|
538国产精品一区二区在线|
精品福利视频一区二区三区|
亚洲av无码一区二区三区不卡|
色精品一区二区三区|
后入内射国产一区二区|
亚洲熟妇AV一区二区三区浪潮
|
高清无码一区二区在线观看吞精|
亚洲一区欧洲一区|
亚洲国产欧美国产综合一区|
国产一区二区三区影院|
国产乱码精品一区二区三区中|
乱精品一区字幕二区|
久久久国产精品一区二区18禁|
国产区精品一区二区不卡中文|
久久精品国产一区二区三区|
大屁股熟女一区二区三区|
一区二区三区在线播放|
无码欧精品亚洲日韩一区夜夜嗨
|
美女一区二区三区|
日韩电影一区二区|
99精品国产一区二区三区不卡|
精品无码中出一区二区|
在线免费视频一区|
日韩在线一区视频|
亚洲欧美日韩中文字幕在线一区
|
一区二区三区国模大胆|
国产精品一区二区AV麻豆|
高清一区二区在线观看|
日本一区午夜艳熟免费|
无码少妇一区二区三区浪潮AV|
精品福利视频一区二区三区|
国产精品成人一区无码|
精品无码综合一区|
骚片AV蜜桃精品一区|