必威体育下载克里斯蒂安·海尔曼

贴有“wordpress”标签的帖子

H4XX0R3D!–我是如何发现自己在经营一个垃圾博客的?

星期三,3月3日,二千零一十

昨天,实际上,在我要去基尔伯恩在“点燃”大会上演讲的十分钟前,我有一个令人震惊的时刻。我在我庞大服务器的一个子文件夹中找到了一个提供廉价服务的博客。原始设备制造商软件:

我服务器上的幻影OEM博客

所有这些链接迟早都会重定向到FireMicrosoft.net,即属于俄罗斯某个人由戈达迪主持。

不使文件夹对世界可写

发生的事情是,我写了一个非常古老的留言簿脚本,曾经还在这个文件夹中运行。当时的伎俩PHP教程,因为这样做容易得多)CHMOD存储平面文件的777文件夹(所有人都有读/写/执行权限)。那对我来说已经足够好了(大约2000年),你猜怎么着?这足以让垃圾邮件发送者存储他们的博客。

静态页面生成-批量

这个博客建立得相当巧妙SEO:搜索引擎喜欢静态页面,所以不是访问数据库-这并没有受到影响-他们只是为所有进入的搜索查询创建了静态页面。毕竟这是关于显示链接和谷歌果汁,不是关于交付内容。最后,我发现我有23487HTML广告垃圾邮件的文件。感谢上帝访问,因为这需要一段时间才能删除SFTP.

我昨晚调查过,我很高兴地说这就是发生的一切。如果我找到一个文件夹来存放我喜欢的东西,我也会尝试阅读其他文件,包括PHP组态例如。

作为告密者的谷歌阅读器

有趣的是我是如何发现它的:谷歌阅读器。betway体育官方网我有一个谷歌博客搜索RSS喂养在每次有人链接到http://wait-till-i.com时都会通知我的读者中,我发现这比如今垃圾邮件发送者似乎只使用的引用通告更有用:

在这个饲料里我得到很多来自http://vancouverisawome.com/的帖子数:

我在谷歌阅读器上的博客有很多奇怪的链接

起初我以为这是因为http://winterolympicchords.com——毕竟这是及时的。当我查看这个站点的源代码时,然而,我在关门前发现的正文标签垃圾邮件发送者已经注入到不同网站广告的链接原始设备制造商软件:

      
       
宽度:100%;高度:20px;Z指数:1;可见性:隐藏“>
…许多随机的链接 HTML…]

起初,我嘲笑他们链接到我网站上的一个文件夹,我知道这不存在,但当我点击链接发现博客时,我的笑容很快消失了。

巴斯德宾的全部东西–如你所见,八个地点都以同样的方式受到攻击。

我觉得奇怪的是,VancouVerisawesome上的链接是隐藏的,而且似乎仍然被谷歌编入索引——我记得有一次,由于绝对定位广告,我几乎被逐出了Adsense。也,链接可能在屏幕的顶部,但文档中的链接在树的下方,万古威士已经有很多链接了。

我已经清理了我的服务器,并联系了其他七个站点的维护人员(对此我有很多“谢谢”)。我还联系了vancoverisawome,他们的底部有垃圾邮件链接。这是一个很常见的攻击(我们在ajaxian.com上发现的,也)针对WordPress安装。

如何避免这一切(以及如何检测)

为了确保不会发生在你身上:

标签:
张贴在一般γ11条评论

ttmmhtm:强化wordpress,太空中的艰苦研究,Pacman文本冒险和AOL可访问性竞赛

星期一,1月26日,二千零九

今天早上让我高兴的事情(已经调整了我去印度的时间,我明天要飞的地方):

我们正在寻找帮助残疾计算机和互联网用户的应用程序的想法,我们将通过2009年Topcoder公开赛来构建这些应用程序。
现在,我们将“感觉开发者挑战创意生成大赛”延长了两天,我们在组合中加入了一些奖金!
如果三次去 TCO在拉斯维加斯,7500美元的奖金还不够, 美国在线将向本次比赛的五位提交者提供iPod touch,在新的截止日期星期二之后随机选出,美国东部时间1月27日下午2点。

WordPress插件,用于在日志中添加雅虎关键词

星期五,11月14日,二千零八

继续玩雅虎老板,我已经建立了一个快速的WordPress插件来添加关键字到你的任何博客文章。

简单地下载插件将它解包到插件目录并激活它。

激活后,您可以在日志中使用两个命令:

[雅胡克语:巴黎人]

这将替换为一个关键字列表-一个HTML10个术语列表CSS名为“yahoo keywords”的类。

[Yahootags:巴黎人]

这将被同一个列表替换,但是每个术语都会作为标签链接回你的博客。

活生生的例子:

[雅胡克语:巴黎人]
[Yahootags:巴黎人]

幻灯片共享列表WordPress插件

星期一,6月30日,二千零八

我想在博客上列出我在SlideShare上的所有演示文稿,然后开始使用幻灯片美国石油学会认真地因为我没能把结果写进博客里,我用一个WordPress插件包装它们,以防您还想列出您的Slideshare成就。

您可以在演示文稿页下面是截图:

使用WordPress的SlideShareList插件创建的演示文稿列表的屏幕截图

请注意,我提供了一个指向Easy Slideshare的链接作为一个选项,这样盲人用户就可以只浏览成绩单,而不必尝试理解Flash嵌入的内容。这个美国石油学会实际上有一个转录元素,但目前还没有内容。会很酷看到它被启用:)

更新:该插件现在还允许您将“wordpress”代码从slideshare复制并粘贴到运行该插件的任何wordpress日志中。

只需将slideshare提供的wordpress代码复制并粘贴到运行该插件的任何博客文章中,即可获得精美的显示效果。

这个屏幕截图显示了一篇文章的初始状态(有一些CSS)看起来:

此插件显示的幻灯片共享演示文稿的屏幕截图(关闭状态)

当您单击“此时此地”链接时,您将获得“普通”幻灯片共享体验:

此插件显示的幻灯片共享演示文稿的屏幕截图(显示状态)

插件是开源的,BSD如果你想使用它,你需要从Slideshare获取开发者密钥

一旦你有了这些,只需更改幻灯片共享列表-config.php相应归档。比如说Slideshare给了你一把“小调”的钥匙和一个“我真的很喜欢奇怪的al-Yankovic”的秘密,那么你必须改变:

      你的钥匙钥匙
$secret='您的秘密
$apiURL='http://www.slideshare.net/api/1/';
?>

致:

      $key='小调';
$secret='我真的很喜欢奇怪的扬科维奇';
$apiURL='http://www.slideshare.net/api/1/';
?>

你只需要这么做,简单地文件传输协议把整个文件夹转移到WordPress的插件目录中,激活WordPress中的插件。

在博客文章或页面中显示演示文稿列表只需添加以下内容:

[*Slideshare用户名金额]

例如,下面将显示我最近的5张幻灯片:

[*幻灯片共享-Cheilmann-5]

另一种选择是复制一个演示文稿并将其粘贴到博客文章中。您可以使用以下语法:

[*幻灯片共享演示文稿:url]

例如,我的“创建快乐小网站”演示文稿:

[*幻灯片分享演示:http://www.slideshare.net/cheilmann/creating-happy-little-websites]

或者,您可以使用SlideShare为您提供的复制和粘贴代码,用于从SlideShare演示页面本身托管在SlideShare上的博客。例如,我在Ankara开源活动中的演示文稿“Yahoo is open for developers”:

[*幻灯片共享ID=477388&doc=opensourceAnkara-1213971414957829&w=425]

这是从:

http://www.slideshare.net/cheilmann/yahoo-is-open-to-developers

1.10新:

根据以下评论的要求,现在还可以列出标签和组的幻灯片。语法如下:


[*幻灯片共享组:组:金额]

例如:


[*Slideshare Group:雅虎开发者网络:3]

如果你想看到某个标签的幻灯片:


[*Slideshare标签:标签:金额]

例如:


[*Slideshare标签:Ajax:3]

wp超级缓存对我(和其他人)缓存得太远

星期四,11月8日,2007年

刚把这个wordpress升级到新的wordpress之后,我想拥有完整的优点,并安装了wp缓存来保存我的文章的静态页面。但似乎新发布的wp超级缓存WordPress插件存在一些严重的漏洞。

第一个向我报告的是Chris Messina在Twitter上接下来是Stefanie Sullivan报道Tiffany Brown也有同样的问题.检查创建的文件夹,我发现Tiffany提到的两次注射尝试是相同的。缓存允许通过“i”或“s”参数以txt URL形式插入代码。

在我的例子中,我发现我的服务器有一半镜像到插件缓存文件夹中的supercache文件夹中。不好的。

我很高兴看到我的ETC文件夹和其他更有趣的部分在我停用插件之前还没有到达。现在我在扮演大师,看看还有没有注射。我的操作:取消激活并删除所有缓存插件及其缓存文件夹(最好通过作为文件传输协议是一个皮塔有这么多文件)。