Tag Archives: Wordpress

by

Quicl教你如何新站上线一个月PR由0升3百度权重1

Quicl’sBlog是主打ACM/ICPC的,如今做站一年多由于当初的失误使得现如今不能不定链接,以及为了避免搜索引擎K站不得不一直使用中文URL地址。随着时间的慢慢推移,Quicl我觉得一个站不能局限我的想法。为了实现我的目标,年初定下了十二五规划(一二年的五个计划:十二五计划:做个PR3的站、Java学懂、Linux Bash学会、Backtrack基本操作、卖掉几个米、每个月游玩一个地方、给力2012!)今日Quicl查看xatu.me这个新站的PR值,很是惊讶的发现PR竟然为3了。额……今年的计划提前一年实现了http://20xue.com/?p=2507……

首选说说这个PR3的站点西安工业大学博客XATU.me的概况。xatu.me是我今年1月多的时候注册的,做的是我们学校的关键词西安工业大学以及西安工业大学分数线、西安工业大学教务处等学校的关键词。提供一个给考生家长一个便利的不官腔的了解西安工业大学的平台。

做站开始,由于有了前面《经验贴:做站一年来的经验总结(关于营销、关于投资)》所总结的经验,这次开局比较顺利。从网站建设伊始,我就不断地翻来覆去的看参考经验贴中的一些事,揭开自己的伤疤仔细的剖析站点的失误所在,使得新站一个月内PR升到三

1、网站定位:由于西安工业大学这个不仅仅我一个人在做,包括那些腾讯、新浪之类的大门户都在做。所以我没有把网站的主题定为西安工业大学,通过发掘我选择了西安工业大学教务处等冷门长尾。

2、网站建设:经过群里面的朋友开导,我的http://xatu.me在新站开头第一个周狂发了100+的文章,一天很少休息,一直做修改,我的那些文章基本都被认为是原创了……

3、网站营销:西安工业大学博客在学校论坛以及博客都做了宣传使得知名度提升了,加之自己本身也不算那种闷头闷脑的人,所以人气还不错。还有就是把ACM方面的程序设计算法设计网络安全、计算机专业、软件工程等文章穿插入XATU.me中,用我老站的权威来带新站。

4、网站优化:外链是经常要做的,卢大哥的那个推广工具和某些BH工具都是我使用的。另外Chinaz等网站的四处投稿也是我的秘密所在。新站上线一个月PR由0升3百度权重1不单单靠外链,懂行的朋友都知道需要靠一个或者几个牛X的页面带动。我的是在一个百科中留下记号的。

只要大家参考上面说的经验贴另外把本文多看几遍相信你,新站上线一个月不到定会赶超我站。祝您建站愉快哦。Quicl’sBlog http://20xue.com/?p=2507

by

网络维权我们在行动

网络是虚拟的,可是一个个虚拟的ID后面是真实的人。作为一名网站站长,与许多人一样,我们应当有责任有义务去履行我们的权利。非法采集,就是一个让许多站长痛恨的一种现象。

最近,Quicl联合Cobmw等博主对所涉及个人被采集的网站进行维权,通过网络搜索等方式进行相关网站的负责人资料搜集,联系负责人等行动,使得采集站点及时删除自己的网站信息。

由于在我国现有法规中,被告网站主及时删除侵害原告版权的内容以及其他信息时候,可以享有豁免权。

非法网站的暴利驱使许多人铤而走险的去建立非法采集站点,由于数量众多,一般主打原创的博主都没有办法对一家采集网站造成较大影响。所以,Quicl决定建立一个非盈利性组织NGO:中国互联网博主网络权益协会。协会以遵守大陆版权许可等公认的事实网络标准版权协议进行维权,定期集中反映,集中力量对一些非法采集站点进行投诉等维权方式。

现NGO尚无确定纲领以及执行准则,期待广大原创博客朋友们商讨以及制定相关准则。网络维权,我们博客站长在行动。

by

WordPress 3.3.1漏洞说明文档

Quicl’sBlog一直在关注着Wordpress的漏洞,并且通过网络搜集第一时间为广大Wordpress用户提供Wordpress漏洞。大家可以访问我的“电脑网络”——“无限相关”内容查找有关网络安全、Wordpress博客漏洞、Wordpress插件漏洞等信息哦。

漏洞公告在这:www.securityfocus.com/archive/1/521359/30/60/threaded
Trustwave发布的,北京知道创宇的官网也贴了个:https://www.trustwave.com/spiderlabs/advisories/TWSL2012-002.txt

20xue.com也第一时间发布了Wordpress漏洞信息:http://20xue.com/?p=2463

下面是北京治堵创宇的漏洞情报:看看最后官方的答复,认为可以忽略。Trust wave避轻就重,还赚了三个CVE,这些漏洞是有场景的:wp没安装过的情况下才可以。来一个个看下。
第一个:PHP Code Execution and Persistent Cross Site Scripting Vulnerabilities via ‘setup-config.php’ page
Trust wave说wp的安装脚本文件有安全风险,安装时可以使用攻击者自己的数据库,安装后登陆wp后台,主题编辑可以写任意PHP代码,然后远程命令执行就是这样来的。而XSS是攻击者通过修改自己数据库里的值(比如评论、文章等)为恶意的XSS脚本,然后用户访问wp就会中招。这个很好理解,只是满足这样攻击场景的太少了……所以这第一个CVE太忽悠。

第二个:Multiple Cross Site Scripting Vulnerabilities in ‘setup-config.php’ page
我写出了POC了,原理是北京知道创宇大牛以前发的一篇《基于CSRF的XSS攻击》,最新的还有效(官方应该不会发布补丁),只是这个场景和第一个一样少的可怜……不过Trust wave与wp官方的重点没放在这。

第三个:MySQL Server Username/Password Disclosure Vulnerability via ‘setup-config.php’ page
暴力破解,这个前提是不是“需要wp没安装过”,我不知道,没测试。有兴趣的同学自己研究。

这次的wp漏洞一点都不精彩,现在流行的还是wp的那些插件漏洞,比较生猛!顺便说了Knownsec Team会在最近发布一个wp xss 0day,影响所有版本,不过要等官方修补之后了。尽请关注我们的官方博客:blog.knownsec.com,新版即将上线!

上面是北京知道创宇公司大牛提供的漏洞情况,该公司的网站挂马检测不错哦。据资料显示,北京知道创宇是微软大陆的唯一安全合作伙伴……Quicl个人感觉非常牛X的说。Wordpress更多漏洞文章访问WordPress爆出SQL注入漏洞 》和《树大招风—WordPress博客攻击》

by

WordPress 3.3.1 漏洞详细信息

Trustwave’s Spider Labs Security Advisory TWSL2012-002:
Multiple Vulnerabilities in WordPress

原文地址为http://xatu.me/wordpress-3-3-1-%E6%BC%8F%E6%B4%9E%E8%AF%A6%E7%BB%86%E4%BF%A1%E6%81%AF.html

Published: 1/24/12
Version: 1.0

Vendor: WordPress

Product: WordPress
Version affected: 3.3.1 and prior

Continue reading