阿里云

国内网站的备案要求越来愈严格，前两年还能在站长群看到卖备案的消息，现在已经了无音信，都是卖服务器的消息刷屏。当时卖个人网站备案也是比较赚钱的，或者是域名自带备案信息，不过这种买了会掉，不是做正规行业的，也不在乎。 阿里云备案从取消纸质复核单，到纯手机操作备案，确实提高了备案效率，但是中间的资料还是比较多，比如负责任的人脸识别。企业备案在备案时，要开视频复验，看看规模，看看营业执照公司的广告标识。 这一系列操作都是增加网站备案的真实性，有效实施国家对网络环境的监管。 今天的复核电话主要是两个需要整改的地方： 第一个，显示网站域名已过期，其实我已经提前续费了，系统那还显示过期，需要我把域名证书发一份过去人工检查，这个比较简单，只要在域名管理那里下载带有域名使用时间的证书图片，再发一封邮件给审核员即可。 第二个，某个网站的备案号没有做跳转，网站下方未显示正确备案编号或编号未指向工信部。这个也就改下网址，再自己检验下是不是能成功跳转。 总的来说，这次复核很简单，也都是基础的问题，从这点看，国内做网站的环境严格化。前两天，在论坛上看到，没有经营性许可网站挂了谷歌广告，都被叫停，表示不允许，站长的变现方式呀。 目前，我还有一个问题在纠结，备案转移不好做。 ps.在论坛逛了一圈，发现大家都收到备案号征稿通知，网站底部只有备案号，没有跳转工信部的链接也是不行的。

卢松松博客刚看到的关于备案问题《站长爆料：部分地区备案需提供纳税证明》，需要提供企业纳税证明或社保证明，志汇分享也遇到类似问题，不过是钉钉的视频验证。 今年对于志汇分享来说，阿里云备案中心的改变就是不用填网站核验单，以前都是在最后备案后需要打印网站备案核验单，签名盖章后拍照上传审核。 如今直接在阿里云APP上完成移动备案，像志汇分享以前填过信息，现在只需要填写需要备案网站的信息就可以，然后进行拍照，负责人身份证件，营业执照，人脸验证，年初，我就是这样备案的。 区别最大的一步来了，最后加了一个钉钉视频专员核实信息，怎么一个流程呢？ 电话专员核实信息还是一样的，问几个身份问题，比如姓名，身份证后四位，公司名称。电话审核后，会有一个钉钉专员加钉钉好友，通过后，给你打视频，要看你的人和身份证，还有营业执照，还会问办公地点，公司标识，公司规模。 志汇分享认为，现在网站备案越来越严格，是因为以前的代备案太多，忘记在哪个QQ群，去年吧，好多代 备案的业务，利用现在别人身份信息去备案，所以一些国内主机服务商取消个人备案服务，现在阿里云连企业的开始严查。 严查备案条件也是净化网络，利用他人信息备案的网站从事灰黑产业。 阿里云的备案流程优化，资料齐全，半个小时能完成初审后提交管局，非常方便。

过几天，这个阿里云的服务器就要到期了，准备把网站搬到去年双十一买的三年阿里云服务器上。 买了三年，这点小流量就够用了。 以前买的时候也没选系统配置，因为用的时候可以换，我一直用宝塔面板，所以就停止服务器，更换了一个宝塔面板。 因为两个服务器都是宝塔面板，迁移就更加方便了，宝塔5.9以上版本都可以用一键迁移。 一键迁移过程中是后台执行可以关闭当前窗口。 ------------------------------------------------ 后续，因为昨天迁移的数据量应该比较多，所以到今天早上，全部网站和数据库信息都迁移完成。为了数据的连续，昨晚也没有更新内容了。 现在已经改了网址解析，网站成功无缝搬家，效率高得很。想想以前都是傻瓜式搬家，心累了。

给阿里云备案服务中心点赞，网站备案越来越方便快捷 在阿里云备案服务中心进行网站备案速度越来越快，以前都是电脑上的，现在应该是为了安全性，加了人脸识别，用上了阿里云APP。在电脑上填完信息就扫描到APP完成验证就可以。因为提前有过网站备案的经验，各种资料都是齐全的，只需要上去就好。 不过由于第一次操作手机端还是有点小问题，一个是营业执照用相册里的上传后，显示不清晰，直接拍照上传显示图像扭曲。后面把照片发给客服解决了。第二个是自己的问题，人脸识别背景需要白色，第一次在空旷背景识别，初审提交后，客服让找个白色背景即可。 阿里云备案时不仅流程简化了，而且客服的服务质量也是很好很快速，资料填完后五分钟，就来电话提醒哪里哪里有问题，应该怎么改。提交资料初审到提交管局审核，速度比以前快了很多。还有一点就是减少了网站核验单，以前资料填写完，需要根据资料内容，打印一份网站核验单签字盖章后，再拍照上传。现在不需要这一步，只在阿里云APP里人脸识别就可以了。 阿里巴巴的客服体系确实是业内一流。知乎上对支付宝和微信支付的评价一边倒的站阿里，原因就是支付宝阿里系优秀的客服反应。 不管是备案或是支付，给用户解决问题，提高用户体验，才会提高留存率，任何行业都是如此。

zblog在阿里云用宝塔面板配置免费SSL证书开启网站HTTPS https://www.zhfxa.com/3.html 证书具体申请过程点击上方链接查询。在阿里云平台和z-blog一样申请就可以。 证书配置在宝塔面板也是一样开启SSL。 最后在织梦后台更改系统网址就可以了。这是针对新站，旧站的一些图片链接还是要进行一些处理才行。

全新织梦dedecms5.7版上传至阿里云安装使用，云安全中心提示下图漏洞，会导致百度快照被劫持等一系列问题。 直接使用新的安装包就可以，或者是部分文件替换。 在评论处回复，自动获取下载链接 此处为隐藏内容，请评论后查看隐藏内容，谢谢！

织梦在安装到阿里云服务器后阿里云后台会提示media_add.php后台文件任意上传漏洞，引起的文件是后台管理目录下的media_add.php文件，下面跟大家分享一下这个漏洞的修复方法： 首先找到并打开后台管理目录下的media_add.php文件，在里面找到如下代码： $fullfilename = $cfg_basedir.$filename; 在其上面添加一段如下代码： if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))){ ShowMsg("你指定的文件名被系统禁止！",'java script:;'); exit(); } 添加完成后保存并替换原来的文件即可。 一定要注意分行，不分行是不能修复的。

漏洞描述： dedecms注入漏洞 dedecms留言板注入漏洞。 /plus/guestbook/edit.inc.php 这个是一个dedecms留言板注入漏洞，因为没有对$msg过滤，导致可以任意注入，处理方案如下： 打开/plus/guestbook/edit.inc.php，搜索以下代码： else if($job=='editok') 修改为： else if($job=='editok') { $remsg = trim($remsg); /* 验证$g_isadmin */ if($remsg!='') { //管理员回复不过滤HTML if($g_isadmin) { $msg = "<div class=\\'rebox\\'>".$msg."</div>\n".$remsg; //$remsg <br><font color=red>管理员回复：</font> } else { $row = $dsql->GetOne("SELECT msg From `a15_guestbook` WHERE id='$id' "); $oldmsg = "<div class=\\'rebox\\'>".addslashes($row['msg'])."</div>\n"; $remsg = trimMsg(cn_substrR($remsg, 1024), 1); $msg = $oldmsg.$remsg; } } /* */ /* 对$msg进行有效过滤 */ $msg = addslashes($msg); /* */ $dsql->ExecuteNoneQuery("UPDATE `a15_guestbook` SET `msg`='$msg', `posttime`='"

志汇网络接手的一个企业站用的dedecms，这么成熟CMS怎么有这么多漏洞，百度快照都被劫持了，阿里云的云安全中心已经提示报警，接下来一个一个解决。 漏洞描述： dedecms过滤逻辑不严导致上传漏洞。 修改/include/uploadsafe.inc.php文件 <?php if(!defined('DEDEINC')) exit('Request Error!'); if(isset($_FILES['GLOBALS'])) exit('Request not allow!'); //为了防止用户通过注入的可能性改动了数据库 //这里强制限定的某些文件类型禁止上传 $cfg_not_allowall = "php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml"; $keyarr = array('name', 'type', 'tmp_name', 'size'); if ($GLOBALS['cfg_html_editor']=='ckeditor' && isset($_FILES['upload'])) { $_FILES['imgfile'] = $_FILES['upload']; $CKUpload = TRUE; unset($_FILES['upload']); } foreach($_FILES as $_key=>$_value) { foreach($keyarr as $k) { if(!isset($_FILES[$_key][$k])) { exit('Request Error!'); } } if( preg_match('#^(cfg_|GLOBALS)#', $_key) ) { exit('Request var not allow for uploadsafe!'); } $$_key = $_FILES[$_key]['tmp_name']; ${$_key.'_name'} = $_FILES[$_key]['name']; ${$_key.'_type'} = $_FILES[$_key]['type'] = preg_replace('#[^0-9a-z\.

本站基于zblog建立，如何用zblog配置免费SSL证书开启网站HTTPS。 这里用阿里云、宝塔面板举例。 程序为zblogphp最新版本；服务器为linux；（zblog可以在后台首页确认服务器种类）（虚拟主机用户请去问问你的主机提供商能不能支持https）。 一、获取免费SSL证书 阿里云、腾讯云均提供免费的证书申请，优点是免费，缺点是只能一年一年的申请。（我用的就是阿里云） 各家申请免费证书的步骤都很简单，一般就是点击申请，绑定域名，等待审核通过即可。 申请通过后下载证书到本地（下载证书请务必选择你网站环境对应的版本，nginx和apache不通用）。 二、在宝塔面板进行网站设置 打开宝塔面板，左侧菜单“网站”然后找到我们要设置SSL证书的网站，点击设置。 三、选择左侧面板中的SSL设置： 四、网站SSL证书配置： 1、选择其他证书 2、复制你证书文件key和pem中的内容分别粘贴到两个文本框并保存。 现在把你下载的证书打开，有的是三个文件，有的是两个文件，用记事本可以打开。 不管是两个还是三个，打开后缀名的.key的那个，复制里面的代码粘贴到上图的密匙(KEY)下面那个框里面。 打开另外的文件，把里面的代码复制到上图的证书下面那个框里面即可。 点击保存，并且打开强制HTTPS开关。 五、开启强制HTTPS按钮 如上图，图片右上角那个按钮，点击后显示绿色即为成功开启。 这里要注意的点是： 第一、服务器类型要确认好，网站后台设置可以看 第二、.pem文件要注意顺序，如果不能成功开启，就试试换个顺序。我第一次就因为顺序问题不能开启