密码生成工具怎么用?从随机源、信息熵到网站后台防爆破
按长度和字符集随机生成高强度密码,这款密码生成工具好在哪、又坑在哪?本文讲清它最值得表扬的安全随机源、为什么它的强度打分不可信、信息熵和NIST指南怎么看长度,以及网站后台用弱密码被爆破后,对SEO意味着怎样断崖式的灾难。
CMS安全加固
后台被爆破、表单被注入、文件被传马,CMS安全松一环就出事。这里汇集跨平台的安全加固实战,从密码与防爆破、SQL注入修复到恶意UA拦截和权限分离,帮你把建站系统守得严严实实。
-
-
WordPress被DDoS攻击怎么办?从识别到应急拦截
WordPress网站DDoS攻击日益频繁,保哥从攻击识别到拦截全流程拆解防御方案。包括判断DDoS与暴力破解差异、分析服务器日志特征、Cloudflare Under Attack配置、Nginx限流规则、fail2ban自动封禁等实操技巧,附电商、内容站、B2B企业站3类客户的90天攻防数据对比和应急三件事SOP。
-
DedeCMS留言板SQL注入1行addslashes修复实战
织梦DedeCMS plus/guestbook/edit.inc.php留言板SQL注入的实战修复笔记:定位代码、加addslashes、curl黑盒验证、WAF与fail2ban叠加防护,覆盖V5.7全系列站点。
-
织梦article_add Cookie泄漏SQL注入:五道防线修复
DedeCMS会员中心article_add.php的dede_fieldshash校验是单纯md5,攻击者只要在Cookie里拿到合法的dede_fields样本就能任意构造哈希绕过。保哥过去4年帮9个被打的客户做过修复,本文给出五道纵深防线:HMAC风格的md5加salt、参数化查询、输入过滤、横向扫所有会员入口、Nginx WAF兜底,附某技术站5天入侵响应实录。
-
DedeCMS pm.php注入怎么修?CVE-2018-9134加参数化查询
DedeCMS 会员中心 pm.php 的 CVE-2018-9134 注入至今仍是脱库主入口。本文从源码层讲清漏洞成因(intval 缺失),给出最小补丁、PDO 参数化查询、ModSecurity WAF 兜底三层修复,并扩展到全站注入点审计、bcrypt 密码升级、被脱库后的应急响应流程。
-
DedeCMS会员中心mtypes.php SQL注入漏洞修复深析:数组键名注入根因、intval补丁与系统化排查
DedeCMS /member/mtypes.php 在 2014-2018 年披露的 SQL 注入漏洞(CVE-2018-9134)通过表单数组键名注入恶意 SQL,能改任意管理员密码或写 webshell。本文从数组键名直拼 SQL 的根因讲透补丁中 intval(id) 为什么是关键、HtmlReplace 为何防不住 SQL、同文件 DELETE 段是否需要补、用 grep 系统化扫整套 DedeCMS 的同类漏洞、PDO 预处…
-
WordPress拦截恶意User-Agent:functions.php老代码的eregi()死亡迁移、mu-plugins升级与Nginx/CF三层防护
WordPress 网站常被空 UA 的采集器、扫描器、SQL 注入工具骚扰?网传 functions.php 用 eregi() 的代码在 PHP 7+ 直接 fatal。本文给出 stripos 现代写法、mu-plugins 替代 functions.php 的工程化做法、AI 爬虫该拦还是该放、Nginx map / Cloudflare WAF 三层防护、fail2ban 联动动态拉黑、攻击者绕过升级思路与 FAQ。
-
Linux下DedeCMS生产级安全加固指南:mpm-itk/php-fpm权限分离、目录迁移、fail2ban与应急响应
DedeCMS 默认部署“写一个 webshell 进 uploads 就拿管理员权限”的状态。本文按 Apache mpm-itk 与 Nginx php-fpm 多 pool 两套方案给出前后台权限隔离,覆盖后台目录迁移与重命名、IP 白名单 + Basic Auth、php.ini 危险函数禁用、SELinux 标签、fail2ban 自定义 jail 与被入侵后的应急响应流程。
