本文目录一览:
- 1、php漏洞怎么修复
- 2、如何充分发挥MetInfo的SEO功能
- 3、metinfo中public下面的php文件是怎么调用的?
- 4、如何充分发挥metinfo的seo功能
php漏洞怎么修复
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数据库,以及后端服务器进行攻击,该metinfo漏洞影响版本较为广泛,metinfo6.1.0版本,metinfo 6.1.3版本,metinfo 6.2.0都会受到该网站漏洞的攻击。
metinfo建站系统使用的PHP语言开发,数据库采用的是mysql架构开发的,在整体的网站使用过程中,简单易操作,可视化的对网站外观进行设计,第三方API接口丰富,模板文件较多,深受企业网站的青睐,建站成本较低可以一键搭建网站,目前国内使用metinfo建站的网站数量较多,该metinfo漏洞会使大部分的网站受到攻击影响,严重的网站首页被篡改,跳转到其他网站,以及网站被劫持跳转到恶意网站上,包括网站被挂马,快照被劫持等情况都会发生。
关于该metinfo漏洞的分析,我们来看下漏洞产生的原因:
该漏洞产生在member会员文件夹下的basic.php代码文件:
metinfo独有的设计风格,使用了MVC框架进行设计,该漏洞的主要点在于使用了auth类的调用方式,在解码加密过程的算法中出现了问题,我们再来看下代码:
通常加密,以及解密的算法是不可以可逆的,但是metinfo写的代码可以进行伪造函数值进行逆算,我们看这个构造的恶意函数,这里的key值是从前端met_webkeys值里进行获取,将获取到的webkeys值进行写入,并赋值到配置文件里,config目录下的config_safe.php代码里。我们通过查看这个代码,发现写入的值没有办法进行PHP脚本的执行,本来以为可是伪造key值进行写入木马,发现行不通,但是在这个伪造key值的过程可以进行sql注入攻击,采用是延时注入方式进行
关于metinfo漏洞的修复建议,以及安全方案
目前metinfo最新版本发布是2019年3月28日,6.2.0版本,官方并没有针对此sql注入漏洞进行修复,建议网站的运营者对网站的后台地址进行更改,管理员的账号密码进行更改,更改为数字+字符+大小写的12位以上的组合方式,对网站的配置文件目录进行安全限制,去掉PHP脚本执行权限,如果自己对代码不是太熟悉,建议找专业的网站安全公司来处理修复漏洞,国内SINE安全,以及绿盟,启明星辰,都是比较不错的网站漏洞修复公司。
如何充分发挥MetInfo的SEO功能
MetInfo企业网站管理系统以SEO功能完善而著称,但是很多建站的朋友却忽略了网站的真正价值,完全没有考虑网站的优化推广,从而让网站仅仅是一个摆设,使用MetInfo建站需要从以下几个方面来设置网站的SEO功能:
一、SEO参数设置:
1、网站标题关键词:这是整个网站SEO的核心,搜索引擎将以此为重要依据对你的网站进行排名,关键词的选择应该充分考虑客户的搜索习惯、自身的产品和服务以及竞争对手的情况,在分析关键词的冷热程度时可以参考百度指数;而关键词首次设定之后,最好不要变动,以免造成排名波动及网站降权。
2、网站关键词:主要是给搜索引擎区分网页关键词排名提供参考,并不意味你此处设置了关键词就能排到搜索结果里面去。
3、网站描述:网站描述一般显示在搜索引擎结果中的网页(首页)描述部分,主要用于向浏览者介绍网站大体情况,吸引浏览者点击。
4、头部优化文字:如果模板支持,一般建议使用HTML strong 标签加粗网站关键词,以增强优化效果,当然也可以用做网站的促销推广信息发布。
5、图片默认ALT、超链接默认Title、友情链接本站名称:一般填写全站核心关键词即可。
6、网站底部优化文字:如果模板支持,一般建议使用HTML strong 标签加粗网站关键词,以增强优化效果。
二、静态页面:
1、一般建议开启全站静态页面,这样更利于搜索引擎收录;
2、静态页面类型可以根据自己的喜好选择任意一种;
3、内容页面名称和列表页面名称推荐采用文件夹名称形式,尤其是英文网站;
4、在添加一级栏目时,尽量按照栏目属性设置文件夹名称,如常见问答,设为FAQ等。
三、热门标签:
热门标签的作用主要是增加内链,建议用户将网站关键词设置为热门标签
四、内容页面的关键词和简短描述:
建议用在添加网站内容时尽量添加每篇内容和栏目的关键词和简短描述,以便搜索引擎更好的收录
五、友情链接:
尽可能争取同行相关网站的互相友情链接
当然网站优化推广不仅仅是以上设置就可以完成的,网站系统仅仅是个基础, 用户应该有规律的添加网站内容并到互联网上大量推广网站,这样才能使网站访问量增大,同时提升关键词在搜索引擎中的排名。
metinfo中public下面的php文件是怎么调用的?
?php
$metinfo = new metinfo();//首先调用类
$result = $metinfo-function();//然后调用方法
print_r($result);
?
如何充分发挥metinfo的seo功能
一、SEO参数设置: 1、网站标题关键词:这是整个网站SEO的核心,搜索引擎将以此为重要依据对你的网站进行排名,关键词的选择应该充分考虑客户的搜索习惯、自身的产品和服务以及竞争对手的情况,在分析关键词的冷热程度时可以参考百度指数;而关键词首次设定之后,最好不要变动,以免造成排名波动及网站降权。 2、网站关键词:主要是给搜索引擎区分网页关键词排名提供参考,并不意味你此处设置了关键词就能排到搜索结果里面去。 3、网站描述:网站描述一般显示在搜索引擎结果中的网页(首页)描述部分,主要用于向浏览者介绍网站大体情况,吸引浏览者点击。 4、头部优化文字:如果模板支持,一般建议使用HTML strong 标签加粗网站关键词,以增强优化效果,当然也可以用做网站的促销推广信息发布。 5、图片默认ALT、超链接默认Title、友情链接本站名称:一般填写全站核心关键词即可。 6、网站底部优化文字:如果模板支持,一般建议使用HTML strong 标签加粗网站关键词,以增强优化效果。 二、静态页面: 1、一般建议开启全站静态页面,这样更利于搜索引擎收录; 2、静态页面类型可以根据自己的喜好选择任意一种; 3、内容页面名称和列表页面名称推荐采用文件夹名称形式,尤其是英文网站; 4、在添加一级栏目时,尽量按照栏目属性设置文件夹名称,如常见问答,设为FAQ等。 三、热门标签: 热门标签的作用主要是增加内链,建议用户将网站关键词设置为热门标签 四、内容页面的关键词和简短描述: 建议用在添加网站内容时尽量添加每篇内容和栏目的关键词和简短描述,以便搜索引擎更好的收录 五、友情链接: 尽可能争取同行相关网站的互相友情链接 当然网站优化推广不仅仅是以上设置就可以完成的,网站系统仅仅是个基础, 用户应该有规律的添加网站内容并到互联网上大量推广网站,这样才能使网站访问量增大,同时提升关键词在搜索引擎中的排名。
