dedecms中inc_archives_functions.php存在cookies泄漏导致SQL漏洞的修复方法

dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。修复方法如下,打开\member\inc\inc_archives_functions.php文件,找到239行,以下代码:

替换为:

 

WordPress发布文章后实时自动进行百度主动推送

百度主动推送是百度所有链接提交方式中最为快速的提交方式,主要用于新内容发布后实时提交到百度,以保证新链接可以及时被百度收录。

WordPress加入下面这段代码即可实出发布完内容马上提交到百度,将代码中的域名更换为你自己的域名,token值改为你网站的百度主动推送的token值,可以在百度站长平台的链接提交中找到准入密钥。然后复制粘贴到你当前主题模板中的function.php文件中保存即可。

使用百度主动推送提交链接要注意以下几点:
1、高质量(能解决用户需求);
2、原创(相对花费时间精力精心整理出来的);
3、网站上的新页面(至少这个URL曾经没有被抓取过)。
不推荐使用百度主动推送的链接:
1、曾经提交过的页面(可以使用sitemap的xml形式,txt效果不太好);
2、采集过来进行简单“伪原创”的页面(搜索引擎有足够能力判断一个页面属于低级伪原创,还是花了时间精力进行过整理的页面);
3、低质量/作弊页面;
4、不要推送搜索引擎无法抓取的页面(无法访问的页面比如403/404/500/502的页面,以及经过跳转的页面301/302等……,结合网站日志尽量让搜索引擎能够正常抓取到页面)
最后还有一点,使用主动推送,一方面要注意额度,另一方面要经常关注网站对搜索引擎的友好。详情可以参考百度官方发布的《百度搜索引擎网页质量白皮书》。

使用百度POST实时推送工具快速提交链接

百度POST实时推送工具V3.0可以不需要通过浏览器来访问网站上的提交文件来提交,在本地运行工具就可以方便的提交,另外一个强大的功能是这个工具可以挂在你的windows服务器上自动获取网站URL自动推广,无需人工管理,前提条件是要配置好自动获取网站URL的正则。

百度网盘下载地址:

链接: https://pan.baidu.com/s/1GAj0H8_DZDD8y4noXCjS8w 密码: 7nsp

第一步,先获取你网站的接口调用地址:进入百度站长平台账户后台,在网页抓取—链接提交—主动推送,获取接口调用接口地址如下所示:

http://data.zz.baidu.com/urls?site=zhangwenbao.com&token=9es7ay2t3aenmDa5

第二步,下载百度POST实时推送工具V3.0解压后,会看到一个“网址.txt”的文件,将您所有要提交的URL链接地址放在这个文件里,每条URL一行,保存。

第三步,打开解压后的“百度POST实时推送工具V3.0.exe”,填写接口调用地址和推送文件地址,
实时推送文件:这里点击后面的打开按钮,打开第二步你保存好的“网址.txt”文件;
接口调用地址:这里填写第一步你的接口调用地址

然后运行即可实时提交。

 

 

WordPress自动重命名媒体库图片文件名

WordPress默认上传图片时,图片文件名是什么保存到媒体库里就是什么,如果想保持整洁规范统一,可以将上传的图片以上传时间自动重命名。将以下代码复制粘贴到当前模板主题的functions.php里保存即可。

织梦Dedecms随机调取文章

织梦dedecms调用随机文章需要用到下面这段代码:

pagesize=’10’ 表示调用10篇文章

titlelen=’35’ 表示限制文章标题长度为35个字节(2个字节等于一个汉字)

orderby=’rand’ 表示调用方式为随机抓取

如果想抓取指定栏目下的内容要加入typeid=’栏目的ID’,如下所示

 

织梦DedeCMS手机端文章图片自适应屏幕CSS

织梦dedecms默认手机模板的文章图片不能自适应屏幕分辨率大小,会造图片显示不完整或者图片将页面撑爆。下面这段代码是通过php代码将文章图片标签的宽度高度全部去掉,以实现屏幕自适应。

编辑手机端文章内容页模板,将里面的{dede:field.body/}标签代码修改为如下的标签代码:

 

DedeCMS v5.7 注册用户任意文件删除漏洞archives_check_edit.php漏洞修复

DedeCMS v5.7 版本中的/member/inc/archives_check_edit.php文件存在注册用户任意文件删除的漏洞,注册会员用户可利用此漏洞任意删除网站文件。

修复方法,编辑/member/inc/archives_check_edit.php文件,查找下面的代码:

替换成以下代码:

保存即可。

Dedecms的soft_add.php存在SQL注入漏洞的修复方法

dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。

编辑member目录下的soft_add.php,找到如下代码,大约在第171行

 

替换成如下代码:

保存即可。

隐藏第三方网站统计图标

有时为了页面美观,需要隐藏一些不需要展示的代码,而这些代码的功能却一定要生效,比如统计代码。下面提供两种方法隐藏:

第一种方法,将统计代码放在<div style=”display:none”>与</div>中间,如下所示:

第二种方法,如果是CNZZ站长统计的话,可以直接在统计代码中的%3Cspan和id=’cnzz_stat_icon的中间加上style=’display:none;’注意前后要加半角空格。如下所示:

如果是51.LA统计的话,可以在代码里加上type=”hidden”实现隐藏,如下所示:

或进写入JS也行:

由于搜索引擎对<div>中含有style=”display:none”这种css隐藏方式不太友好,容易判为SEO作弊,所以建议都用第二种方法。

WordPress免插件自动更新sitemap.xml站点地图

不喜欢给WordPress安装各种插件的话,可以用本文的方法免插件生成sitemap站点地图,可以同时生成首页、文章、单页面、分类和标签的sitemap


将以上代码保存为sitemap.php放在网站根目录,然后复制以下代码:

加入到伪静态规则.htaccess文件里的RewriteBase /的下面,保存覆盖。

然后就可以通过http://zhangwenbao.com/sitemap.xml来访问站点地图了,这个地址就可以提交到各大搜索引擎的站长平台里。