今日看点 第4页

为解决用户服务器被通过phpmyadmin提权导致的安全问题，
我们在Linux面板7.4.2/Windows面板6.8.0 版本中加入了phpmyadmin安全访问模块，
原理是通过面板进行访问phpmyadmin，而不是nginx/apache，
但因在目录存放时存在一个致命逻辑漏洞，导致nginx/apache也可以访问到专门给面板使用的phpmyadmin目录，
我们在做安全审计时将重心放在面板程序中，忽略了除面板外被访问的可能，从而导致了此事件的发生.

受影响的机器：
需同时满足以下所有条件
1、软件版本为Linux面板7.4.2 或者Windows面板6.8.0
2、开放888且未配置http认证，
3、安装了phpmyadmin，mysql数据库

不受影响的机器：
只需满足一条则不受影响
1、未开放888端口，
2、针对888端口做了严格的安全认证，
3、未安装phpmyadmin，
4、未安装mysql数据库
5、面板版本不为Linux面板7.4.2/Windows面板6.8.0

安全更新时间及内容：
时间：2020-8-23 16:50左右
1、移除phpmyadmin安全模块
2、删除phpmyadmin遗留文件
3、移除fastcgi客户端模块中的目录解释功能

当前最新的安全版本为：
Linux面板7.4.3 / Windows面板6.9.0

除使用紧急修复补丁以外的其它措施：
1、第一时间通过 短信、公众号、官网、QQ群等渠道通知用户升级
2、在云端软件安装脚本中加入漏洞检测功能，在用户通过云端安装软件时，检测发现漏洞后尝试修复
3、通过漏洞本身，尝试破坏利用链(尝试通过phpmyadmin自身漏洞删除config.inc.php， 仅部分Windows有效/Linux版本尝试失败) 2020-8-23 22:00 ~ 2020-8-24 4:00
4、通过漏洞本身，尝试破坏利用链(强制修改数据库root密码)，此方法部分服务器有效，受phpmyadmin版本和用户配置影响 执行时间：2020-8-24 8:00 ~ 2020-8-24 9:40
5、阿里云，腾讯云等很多IDC厂商已紧急发布更新预警并采取限制端口的措施来防止漏洞被利用

下一步：
在漏洞发现第一时间已安排人员加班更新修复，增加服务器带宽，利用所有能利用上的宣传渠道进行更新提醒，同时安排运维及客服人员在线解答所有事项，对于受影响的用户协助他们解决问题，对于人手不足问题已临时调用开发来协助用户，当前所有精力都努力将此安全风险影响最小化，等处理完这步再来更新内部整改处理事项。

宝塔Linux面板 7.4.3 正式版 已发布！

更新日志：
1、紧急修正一处安全风险
此次更新为紧急安全更新，请7.4.2的用户务必更新到最新版。

升级脚本（注意：优先在面板首页直接点更新，失败的情况下，才使用此命令，且不能在面板自带的SSH终端执行）：

curl https://download.bt.cn/install/update_panel.sh|bash

离线升级步骤：

以下是宝塔面板官方截图：

wordpress建站门槛可以说非常的低了，一个新手稍微学习一下就可以搞出来一个看起来不错的网站的，你个服务器，域名，wordpress程序，wordpress主题只需要这几个要素就可以建出一个不错的成品网站来，但很多人比较纠结如何选择合适的主题，wordpress拥有海量的各种样式和功能的主题，各种免费或者是付费的主题供我们选择，在这么多的主题中我们如何选择合适的主题显得很重要了、因为自己偶尔也会帮人安装主题调试网站什么的积累了好多感觉不错的主题，今天就给大家系数一些有哪些经典的wordpress主题吧。

1、MOK主题（适合企业建站）

非常强大的SEO优化功能，特别适合国内小微企业使用的一款主题，首页自定义、咨询表单、多语言（中英日繁）、一键换色、全站SEO、多分类模版、百度收录，适用于各种企业网站、垂直站、行业站等等，扁平化设计、多设备支持、侧栏随动、列表无限加载。

主题预览：https://themebetter.com/theme?um=m0o05

2、JustNews主题（适合个人/企业CMS建站）

JustNews主题专为博客、自媒体、资讯类的网站设计开发，自适应兼容手机、平板设备，支持前端用户中心，可以前端发布/投稿文章，同时主题支持专题功能，可以添加文章专题。个人还是比较喜欢推荐这款主题的。

主题预览：https://www.wpcom.cn/themes/justnews.html?ref=6665

3、Module主题（适合企业搭建外贸网站）

Module主题采用全新模块化开发，首页模块可视化拖拽自由组合，可自定义搭建出不同行业适用的企业网站。同时主题全面支持WPML多语言切换，可轻松搭建外贸网站。

主题预览：https://www.wpcom.cn/themes/module.html?ref=6665

4、Third主题（适合企业站）

Third是WPCOM团队原创制作的WordPress主题，定位于传统行业的企业官网建设，所以设计风格略显沉稳。同样的，Third主题也采用了响应式布局，能够自适应手机等移动设备访问。

主题预览：https://www.wpcom.cn/themes/third.html?ref=6665

 

5、DUX大前端的主题（适合个人/企业CMS建站）

这个主题也是经典中的经典，看过太多的网站在使用它了，功能强大并且SEO优化容易。因为这个主题的使用起来，感觉页面还是比较符合我们国人的习惯和审美，因此使用也比较广泛的，当然这个也是付费主题，不过个人建议不差钱的还是去支持原版的吧。

主题预览：https://themebetter.com/theme?um=m0o05

6、YIA主题主题（适合个人/企业CMS建站）

这个主题非常的简约干净，看起来非常的清爽，关键功能也强大，集成深度SEO优化的设置和功能。用作个人或者是企业的内容站点非常合适。

支持多语言、一键换色、全站SEO设置、文章图片弹窗、百度收录，适用于各种个人展示网站、博客站、行业站等等，扁平化设计、多设备支持、侧栏随动、列表无限加载、灵活多变的小工具模块。

主题预览：https://themebetter.com/theme?um=m0o05

7、D8主题（适合个人CMS建站）

这个主题我个人是非常喜欢的，适合分享一些技术文章或者是博客类的东西。集成深度SEO优化的设置和功能，有利于各大搜索引擎的收录。做个人或者是企业的CMS内容站点非常合适。

支持前台中英文选择、适用于团队展示、行业垂直性网站、个人博客，简洁大气、优化SEO、多功能配置、用户投稿功能。

主题预览：https://themebetter.com/theme?um=m0o05

8、XIU主题（适合个人/企业CMS建站）

这个主题有很多做的很成功的wordpress站点也是在用的。这个主题出现得比较早所以用户量大。集成深度SEO优化的设置和功能，有利于各大搜索引擎的收录。

支持百度收录推送，评论算术验证码，适用于图片展示、多元化图片新闻展示、个人博客、资源分享站，扁平化设计、简洁风、全面SEO优化、多重列表展示方式。

主题预览：https://themebetter.com/theme?um=m0o05

1、begin主题 - 知更鸟，这个主题在日常与站长们的交流互动中确实是见到最多的一个主题了吧，我相信用户量是确实较大的，这个主题样式外观功能各方面都还是挺不错的，很多人用来做个人博客，cms站点等，这个非常适合个人草根站长建站的主题值得一推荐吧。

演示站：http://zmingcx.com/

2、DUX大前端的主题，这个主题也是使用的比较多的cms主题。草根建站推荐选择的wordpress博客主题，这个主题因为自己有使用，所以总体还是比较了解的，因为这个主题的使用起来，感觉页面还是比较符合我们国人的习惯和审美，因此使用也比较广泛的，当然这个也是付费主题，不过网上也有破解版的，不过个人建议不差钱的还是去支持原版的吧。

演示站：https://demo.themebetter.com/dux/

3、Git主题，这个也是最近发现和使用过的wordpress主题，个人还是比较喜欢的，后台的功能比较强大，很多个性化的一些设置，前端也是比较符合我们用户习惯和审美的一个wordpress主题。而且关键是这个主题也是免费开放给大家使用的wordpress主题，cms内容站点非常适合，个人博客也可以的。这款主题也算是良心主题吧。以上者三类一般是个人博客，草根站长，cms建站都比较合适的

演示站：https://gitcafe.net/

4、avada主题，这个是一个功能比较强大的国外主题，主要是用于企业建站和外贸建站一类的比较合适，这个站安装还是比较容易的，而且也有汉化版的，这个主题安装后，可以在后台中导入大概几十个成品网站的demo演示数据，基本上视觉冲击力比较大，看起来比较好看的，这类可视化编辑的网站总体比较简单易上手，但是也需要有一定的门槛和基础才能操作的，类似的国外主题比如还有the7，betheme等都有使用和安装过，个人觉得需要有一定的基础和门槛才能熟练操作不太适合完全没有基础的新手。

演示站点：https://avada.theme-fusion.com/

5、yusi欲思博客主题 yusi2.0，这个是付费主题，同git主题差不多的，据说git主题是基于yusi修改的。

预览地址：http://demo.yusi123.com/yusi/

6、JustNews主题，JustNews主题专为博客、自媒体、资讯类的网站设计开发，自适应兼容手机、平板设备，支持前端用户中心，可以前端发布/投稿文章，同时主题支持专题功能，可以添加文章专题。个人还是比较喜欢喝推荐这款主题的。

7、B2主题，柒比贰主题WordPress主题B2更新至1.8.0版，主题必须运行在64位系统和64位PHP环境中，不支持虚拟主机，如果您没有云主机或者VPS将无法安装主题。这个主题虽然本人没怎么用过，但是似乎功能确实比较强大。也是不少建站者的选择。演示地址：https://7b2.com

有好的主题会持续收录~持续更新的！

首先这个结论个人觉得是不靠谱的！网上似乎有这种说法，具体不清楚从哪来的。反正wordpress网站高权重的站点还是能一找一大把的。那么wordpress站长如何做好seo呢，简单总结了一下几点

1、友情链接并不是不重要了，该做的还是得做

各种网上的文章吧，以前友情链接确实比较火比较有效，不过人家算法不断改进打击专门做友情链接的站点，所以很多人就误以为友情链接不重要了。你去购买几个高权重的站点试试呢，说不一定你的关键词不用一个月就能排上首页。所以新网站友情链接还是要做的，如果预算允许的话就去买几个高权重的友链。

2、网站的用户体验不能太糟糕

主要表现在网站访问速度上，比如你的网站打开非常慢，搜索引擎是不会给你推荐靠前的，因为这个不符合正常的逻辑，你来做搜索引擎索引推荐你也不会这么做的，所以优化网站的速度和体验需要下一些的功夫。同时网站尽量不要用各种弹窗和强制跳转等陷阱。做好用户体验，优化网页打开速度是非常重要的，也是无止尽的。wordpress网站提速和优化也可以联系和咨询zouaw.com，提升网站速度效果显著。

3、网站关键词挖掘和TDK撰写

网站关键词挖掘涉及到网站定位，如何选词，当然大体思路就是指数相对较高的词并且优化难度较低的词，业务相关的长尾词。关键词的布局绝对了网站SEO优化的难度。TDK撰写避免重复的堆砌词的陷阱，同时写好之后一般不建议去随意的修改的修改。频繁的修改也会带来灾难。

4、CDN和Https我始终觉得还是有利于SEO的

有人说CDN配置之后会导致SEO收录有所波动，收录减少很多，其实不然。CDN带来的影响可能是积极的也可能是消极的，但是一般一段时间后会恢复。https我觉得从几年前开始就已经是网站的标配了，所以拿到一个新站首先就是要全站https，让浏览器显示小绿锁安全标志。

5、主动实时提交新页面到搜索引擎

利用插件或者是其他工具对新的文章和页面做实时的提交收录，让搜索引擎第一时间的知道你的页面，提高抓取效率、这个挺重要的，实时收录当然会考虑你的原创度，文章质量等等，所以请一定要注重网站内容质量。

7 月 19 日消息 中文 PC 互联网知名社区开源软件 Discuz! 在过去 15 年间，服务过超过 200 万网站客户。其推出的 UCenter、SupeSite，ECshop 等组件所代表的产品理念对今天移动互联网各类产品的技术架构至今仍有着深远的影响。很遗憾的是Discuz! 社区被 腾讯 所兼并，不过好处也是有的就是进行全新的 Discuz! Q 版本研发。现在Discuz! Q 1.0来了，首先发布RC V1.0.200715版本。

Discuz! Q 表示，近 10 年来，中文互联网发生了天翻地覆的变化，应用形态从 PC 端迁移到了移动端，深刻的改变了人们获取信息的方式，与此同时，开源服务的技术形态也从私有化部署走向了以 SaaS 为代表的云服务。"站长"这个群体也随之逐渐销声匿迹，互联网的主流形态从人与信息的连接也转为人与人的连接。我们一度以为社区 BBS 已经完成了自己的历史使命，信息的分享与沉淀变得不再那么重要。但随着时间的发展，我们注意到了一些重要的变化：以微信群、朋友圈、微博为代表，人和人的连接效率越来越高，信息传播的速度越来越快，社交网络走向圈层化，信息消费呈现出噪点化、重复化、碎片化和快餐化的特征。与此同时，移动互联网的人口增长红利消失，巨头对流量垄断的马太效应凸显，产业经济内卷化加重，信息的降噪沉淀变成了国民级痛点，越来越多的网红大 V 靠私域流量的持续经营就可以获得长期的回报。

下图是Discuz 最新官网的"媒体说"截图，发现"熟人"——

▲（右二）腾讯云吴洪声，网名奶罩，DNSPOD创始人，现为 Discuz! 总经理。（右一）IT之家创始人张凯，网名刺客。

IT之家了解到，Discuz! Q 是一套跨端全域的社区工具，内置六大能力：用户能力、内容能力、支付能力、运营能力、通知能力、连接能力；可以设置公开、付费模式，发布包括图文、短视频、附件、话题、评论等内容形式；并支持知识变现，可以内容打赏、设置付费内容、微信支付、分成、提现等；同时还是腾讯云能力输出官方组件，通过 Discuz! Q 的发布，既满足站长开箱即用的社区和腾讯云使用的基本需求，又满足开发者基于 Discuz! Q 开发框架开发各种应用，更多更好的服务好新的站长群体，打造一个百花齐放的全新社区生态。

Discuz! Q 继承了 Discuz! X 的社区的核心能力，增强了变现的能力，原生接入微信生态，且更适配今天移动端的交互，帮助用户碎片化的信息发布及获取。作为一个新生儿，最重要的是，每个月都在发布新的功能。

Discuz! Q 使用主流的框架，前后分离的方式重写了全部代码，数百个接口全部开放，原生的连接微信生态和腾讯云，帮助开发者事半功倍 ；基于 Apache License 2.0 开源协议，开发者无后顾之忧，只需专注于业务场景的落地。

同时，Discuz! Q 提供了全新的 7 大特性。

开源：基于 Apache Licene 2.0 协议，在遵守协议的基础上，您可以自由的使用、修改 和 发布代码。同时，欢迎通过社区提交你的代码，让 Q 拥有你提供的能力 。

分离：Q 的前后端完全分离，后端基于 laravel，前端基于 vue 和 uni-app，易于二次开发和扩展。

多端：Q 原生的支持微信小程序、H5 和 PC 端（开发中），同时，基于 UNI-APP 前端框架的多端扩展能力，开发者可以极低成本的快速构建 IOS、安卓 APP、百度小程序等更多端。

接口：数百个接口（仍然在增加中），健全的文档，开发者可轻易、灵活的使用，完成各种应用场景的构建。

轻量：依然是 Discuz!，这次，你既可以搭建轻量化的论坛，也可以构建知识付费、内容变现的圈子或私域流量应用。

变现：Q 内置圈子付费加入、打赏、内容付费、电商（未来），多种变现方式，帮助内容创业者快速启动。

上云：Q 原生接入腾讯云的对象存储、文本安全、图片安全、短信、验证码、实名认证、视频 等产品，借助 Q 背后云的能力，帮助开发者、创业者领先一步。

这是一个包子引发的思考，上周公司换地方了，搬到孵化园了，结果我一天早上去买早餐，2个包子8元，我楞了一下也没好意思不要，然后就含泪吃了。其实我平常很少吃早餐的，习惯了不吃早餐，除非特别饿等情况才会买早餐的。

路过街边的面馆，瞄到里面的面13元一两，15元2两，这也小贵的，比我平时吃的要贵出了几块。唯一的差别就是地方不一样，当然也理解这些卖东西的人，毕竟要卖这个价他肯定才能盈利赚钱吧。

1：今天我们每一个人都在为高房价买单

当然高地价就带来了高房价，高房价必然带来高房租，高房租必然是从消费者头上索取，最终是消费者帮助买单高房租的。一切似乎都是合情合理的，但是当我们的衣食住行所有消费中都包含了很大一部分的房租的时候，当我们整体的消费中房租占比就会越来越多。对于租房者来说不只是简单的承担着每个月几百块钱的直接房租，日常的吃喝拉撒中所包含的隐形房租也越来越多、对于一个有房的人，他不用再支付房租了，但依然无法逃避这日常消费商品中的房租占比部分，包括一碗面一件衣服里面都包含了房租费用的分摊。对于一个隐于市井或者从不出山的不会和房子打交道的人，他同样在承担着日常的柴米油盐酱醋茶这些日常消费，其中比如包含了房租，哪怕你只通过电商购物，也逃避不了，电商相比而言只是节省了一点点的房租，他的产品生产加工运营营销也同样逃离不开高房租的。房价越来越贵的结果就是今天我们每一个人用在房租上的花费越来越多，必然导致其他方面的消费和占比减少。

2、大量的钱都消费在钢筋混泥土和铁公基的建设

其他的各行各业必然也会受到影响的，最后的结果就是大家都没钱消费了，当所有人都像疯子一样的去买房这是很危险的，势必会有很大一部分的人因为买了房而缩减日常的其他开支，包括衣食住行娱乐等，那么这些相关行业就会进一步萎缩瓦解，百业凋零~，凋零的结果就是大量的小微企业难以生存倒闭，倒闭的结果就是失业降薪裁员，降薪失业的结果就是无法承担高房贷，如此死循环。

3、房地产是一场很有意思的游戏，没有输家

这就好比在打一场麻将，然后四家都赢了，没有输家的游戏，首先卖地的很开心价格节节攀升如百度竞价排名，税收也不会少了，开放商挣点儿辛苦钱也算是有肉吃，买到房的也很开心，觉得自己赚大了，庆幸自己买的早，看到房价蹭蹭蹭的涨也感觉自己赚大了，银行无本万利直插一脚然后含泪躺赚，终于成为了宇宙最赚钱的银行。整个游戏过程中开放商，卖地收税的，银行，买家全都赚了，就好比四个人打麻将，没有输家，能做到这种效果的至今只有房地产。

但是我们细想一下，有一个商品本来成本造价是不到30万的，但你要花100万去购买，你拿不出100万，所以你找银行DK，然后你最终要为此支付接近200万的费用，也就是说你用十倍成本的价格去买了一件商品，现在这件商品涨到了300万，你只需要花费200万，所以你觉得自己赚了。

4、我们深恶痛觉百度广告的竞价排名

每每说起百度竞价排名医疗竞价魏则西等等我们都义愤填膺，但是我么仔细想想土地拍卖价格不就是一种竞价排名的游戏么？出价高者得，拿到土地就盖房，烂尾了也无所谓，因为买家害得继续还房贷。今天都有看了一个昆明的烂尾楼，业主都搬进去住了，由于疫情双双失业没有收入每月还9000的房贷，2015年就该交房的，烂尾多年几乎所有风险全部由买房这承担了，麻将桌上的其他几个拿走了大部分的钱却完全不用承担什么风险。几乎个个地方都有很多的烂尾楼，却仍然租房不了每天的拆和建，拆了大量的别墅，又建了一堆的豆腐渣，昨晚的315晚会也曝光了一家。

也许是受文化的影响，没有哪个朝代和国家的人像现在这样，对房子如痴如醉爱不释手，其实他们很多爱的不是房子，是企图通过房子可以不劳而获轻松获得大量的财富。

在我的价值观里，我始终任务任何不创造价值而获得巨大财富的行为，都是在剥削和掠夺别人所创造的财富。尊重游戏规则维护游戏规则的前提是这游戏规则本身是公平的，满足和符合多劳多得，少老少的，不劳不得。如果今天越来越多创造财富的不拥有财富，而拥有天量财富的人本身不创造财富而是去掠夺别人创造的财富，那就回出问题的。

wordpress网站是全球范围广泛使用的博客开源系统，他的用途非常广泛不仅仅局限于博客网站的搭建，几乎各种类型的网站都能胜任了，但是这样一个东西也会有水土不服的情况，wordpress网站的提速和优化显得尤为重要，或者是必不可少的一个环节了。

wordpress网站速度慢原因非常的多。我们需要找出病因对症下药方能药到病除，导致wordpress网站慢的原因多种多样，比如谷歌字体，谷歌地图等导致网页打开慢，比如服务器配置低带宽小，比如网站页面大超过5M甚至更大，比如外链导致的缓慢，内存占用CPU占用高导致访问缓慢等等，因素非常的多，需要对症下药。

1、CDN提速网站：我们服务器普遍购买的1Mbps的带宽，理论速度是128kb/s的速度，透过CDN静态资源提速可以很好的突破服务器的带宽瓶颈达到提速网站访问的目的。

2、通过安装缓存和代码压缩插件，首先静态化缓存网页，这样能大大的减轻服务器的开销，达到提速网站的目前，同时压缩JS和css代码去掉冗余压缩html，可以减少js和css等文件请求数，提高访问速度。

3、网页图片压缩，图片使用不规范是大多数网站的通病，要做到按需使用比人100px*100px的尺寸，你的图片就直接使用对应尺寸，大图小用的情况导致网页过大，加载缓慢，同时我们可以压缩网站图片的质量度到80%左右。既保证了清晰度同时又减少图片kb数，达到提速的效果。

4、开启OPcache缓存和Memcached缓存。简单说来就是提高执行效果一个是提高php的执行效率一个是缓存数据库查询，减少不必要的数据库查询提高访问速度。

5、去除谷歌字体等外链，这个问题比较普遍很多因为使用了外部链接导致访问和打开慢，包括我们的wordpress头像还有某些字体库公共资源托管库等，导致缓慢的因素找出来然后去干掉他们。