wordpress弱点 wordpress缺点

比较ASP PHP 和JSP的优缺点

php优点

成都创新互联专注于定南网站建设服务及定制，我们拥有丰富的企业做网站经验。 热诚为您提供定南营销型网站建设，定南网站制作、定南网页设计、定南网站官网定制、小程序制作服务，打造定南网络公司原创品牌,更为您提供定南网站排名全网营销落地服务。

1. 跨平台，性能优越，跟Linux/Unix结合别跟Windows结合性能强45%，并且和很多免费的平台结合非常省钱，比如LAMP(Linux

/Apache/Mysql/PHP)或者FAMP(FreeBSD/Apache/Mysql/PHP)结合，或者数据应用够大可以考虑换

PostgreSQL或者Oracle，支持N种数据库。(N = 10)

2. 语法简单，如果有学习C和Perl的很容易上手，并且跟ASP有部分类似。有成熟的开发工具，比如NuPHPed，或者Zend

Studio等等，再Linux平台下可以使用Eclipse等等。

3. 目前主流技术都支持，比如WebService、Ajax、XML等等，足够应用。

4. 有比较完整的支持，比如使用ADODB或者PEAR::DB做数据库抽象层，用Smarty或者smart template做模板层，如果是PHP

5.1的话，还能够使用PDO(PHP Data Object)来访问数据库。

5. 有很多成熟的框架，比如支持MVC的框架：phpMVC，支持类似ASP点虐 的事件驱动的框架：Prado，支持类似Ruby On

Rails的快速开发的框架：Cake等等，足够满足你的应用需求。

6. PHP 5已经有成熟的面向对象体系，能够适应基本的面向对象要求。适合开发大型项目。

7. 有成熟的社区来支持PHP的开发。

8.

目前已经很多大型应用都是使用PHP，比如淘宝网、Yahoo、163、Sina等等大型门户，很多选用PHP来作为他们的开发语言，所以大型门户都能够选用它，我想足够能够你的使用了。

9. 有很多开源的框架或开源的系统可以使用，比如比较知名的开源框架有Zend

Framework、CakePHP、CodeIgniter、symfony等，开源论坛有Discuz!、Phpwind等，开源博客

WordPress，开源网店系统如Ecshop、ShopEx等，开源的SNS系统如UCHome、ThinkSNS等。

php缺点

1.对多线程支持不太好，大多数时候我们只能简单的模拟去实现的。

2.语法不太严谨，比如变量不需要定义就可以使用，在c,java,c++中变量是必须先定义以后才可以使用的。

3.也许有经验的PHP程序员最感到痛苦的地方是PHP的解释运行机制。这种运行机制使得每个PHP页面被解释执行后，所有的相关资源都会被回收。也就是说，PHP在语言级别上没有办法让某个对象常驻内存。在PHP中，所有的变量都是页面级的，无论是全局变量，还是类的静态成员，都会在页面执行完毕后被清空。以JSP为例，在JSP中，Java

Bean的scope有四种有效值：Page、Application、Session、Request，分别对应页面、程序、会话、请求四种生存期。但在PHP中，只有Page一种生存期。

JSP的优势

(1)一次编写，到处运行。在这一点上Java比PHP更出色，除了系统之外，代码不用做任何更改。

(2)系统的多平台支持。基本上可以在所有平台上的任意环境中开发，在任意环境中进行系统部署，在任意环境中扩展。相比ASP/PHP的局限性是显而易见的。

(3)强大的可伸缩性。从只有一个小的Jar文件就可以运行Servlet/JSP，到由多台服务器进行集群和负载均衡，到多台Application进行事务处理，消息处理，一台服务器到无数台服务器，Java显示了一个巨大的生命力。

(4)多样化和功能强大的开发工具支持。这一点与ASP很像，Java已经有了许多非常优秀的开发工具，而且许多可以免费得到，并且其中许多已经可以顺利的运行于多种平台之下。

JSP的劣势

(1) 与ASP一样，Java的一些优势正是它致命的问题所在。正是由于为了跨平台的功能，为了极度的伸缩能力，所以极大的增加了产品的复杂性。

(2)

Java的运行速度是用class常驻内存来完成的，所以它在一些情况下所使用的内存比起用户数量来说确实是“最低性能价格比”了。从另一方面，它还需要硬盘空间来储存一系列的。java文件和。class文件，以及对应的版本文件。

ASP的特点：

1、任何开发工具皆可发展ASP

只要使用一般的文书编辑程序，如Windows记事本，就可以编辑。当然，其他网页发展工具，例如，FrontPage Express、

FrontPage等也都可以;不过还是建议你用记事本来写，既省钱又方便，若是使用那些所见即所得的网页编辑来写ASP，可能会发生一些意想不到的离奇状态。

2、通吃各家浏览器

由于ASP程序是在网络服务器端中执行，执行结果所产生的HTML文件适用于不同的浏览器。

3、语言相容性高

ASP与所有的ActiveX Script语言都相容，除了可结合HTML，VBScript、Java Script、Active

X服务器组件来设计外，并可经由“plug-In(外挂组件模组)的方式，使用其他厂商(Third Party)所提供的语言。

4、隐密安全性高

如果我们在浏览器中直接查看网页的原始代码，就只能看到HTML文件，原始的ASP程序代码是看不到的!这是因为ASP程序先于网站服务(Web

Server)端执行后，将结果转换成标准HTML文件，再传送到客户端(Client)的浏览器上，因此，我们所辛苦撰写的ASP程序并不会轻易地被看见进而被盗用。

5、易于操控数据库

ASP可以轻易地通过ODBC(Open Database

Connectivity)驱动程序连接各种不同的数据库，例如：Acess、Foxpro、dBase、Oracle等等，另外，ASP亦可将“文本文件”或是”Excel”

文件当成数据库用。

6、面向对象学习容易

ASP具备有面向对象(Object-Oriented)功能，学习容易，ASP提供了五种方便能力强大的内建对象：Request、Response、Sever、Application以及Session，同时，若使用ASP内建的“Application”对象或”Session”对象所撰写出来的ASP程序可以在多个网页之间暂时保存必要的信息。

网络犯罪的趋势

移动装置将成为跨平台威胁的新目标

网络犯罪者瞄准的三大移动平台包括Windows 8、Android和iOS.Web-based跨平台攻击将更容易发生。Microsoft移动装置威胁在2013将呈现最高成长率。网络犯罪者就如同合法的应用开发者，把心力聚焦于最有利润的平台。随着开发障碍因素的移除，移动威胁将可以运用庞大的共享链接库。并且，攻击者也将继续加重利用社交工程以窃取移动装置的用户数据。

网络犯罪利用绕道避免sandbox侦测

越来越多组织利用虚拟机防护技术，以测试恶意软件和威胁。因此，攻击者也采取新的步骤以避免被虚拟机环境侦测。有些潜在的方法会尝试辨识安全沙盒(sandbox)，就如同以往的攻击把目标锁定在特定的防毒引擎并且关闭它们的功能。这些进阶的攻击将维持隐匿状态，直到它们确定本身并非处在一个虚拟安全环境。

App stores将隐含更多恶意软件

越来越多恶意App将躲过验证程序。它们将继续对那些实施员工携带自有装置(Bring Your Own Device;BYOD)政策的组织构成威胁。此外，越狱(jail-broken)或者取得root权限的装置以及未规范保护的App stores等，将对越来越多实施BYOD的企业形成严重的风险。

赞助的攻击将随着新手的加入而更加猖獗

预期将有更多政府投入因特网战争。在发生数次已公开的因特网战争之后，有诸多因素将促使更多国家实行这些战略与战术。尽管要成为另一个核武强权或许困难重重，但几乎任何国家都可以汇集人才与资源以发展因特网武器。国家和个人网络犯罪者都将能取得先前由国家赞助的攻击蓝图，例如Stuxnet、Flame和Shamoon.

黑客们将朝新而复杂的技术发展

近几年来发生的一些高知名度黑客事件，已促使企业组织部署越来越强的侦测与预防政策、方案和策略。因此，黑客们将朝新而复杂的技术发展。

恶意电子邮件回来了

具有时效和针对性的鱼叉式网络钓鱼(spear-phishing)电子邮件攻击以及恶意附件的增加，为网络犯罪提供新的机会。恶意邮件将再掀风暴。网域产生(domain generation)技术也将绕过现有的安全防护，提高针对性攻击的有效性。

网络犯罪将侵入内容管理系统和Web平台

WordPress的安全弱点经常遭大量攻击入侵。随着其他内容管理系统(Content Management Systems;CMS)与服务平台的普及，网络犯罪者将频繁的测试这些系统的安全性。攻击活动将继续侵入合法Web平台，促使CMS管理者必须更加重视更新、补丁和其他安全措施。网络犯罪者侵入这些平台的目的是为了植入他们的恶意软件，感染用户和入侵组织以窃取数据。

怎样用 wpscan，nmap 和 nikto 扫描和检查一个 wordpress 站点的安全性

1.用 WPScan 测试 WordPress 中易受攻击的插件和主题

WPScan 是一个 WordPress 黑盒安全扫描软件，用 Ruby 写成，它是专门用来寻找已知的 WordPress 的弱点的。它为安全专家和 WordPress 管理员提供了一条评估他们的 WordPress 站点的途径。它的基于开源代码，在 GPLv3 下发行。

2.下载和安装 WPScan

在我们开始安装之前，很重要的一点是要注意 wpscan 不能在 Windows 下工作，所以你需要使用一台 Linux或者 OS X 的机器来完成下面的事情。如果你只有 Windows 的系统，拿你可以下载一个 Virtualbox 然后在虚拟机里面安装任何你喜欢的 Linux 发行版本。

WPScan 的源代码放在 Github 上，所以需要先安装 git（LCTT 译注：其实你也可以直接从 Github 上下载打包的源代码，而不必非得装 git ）。

sudo apt-get install git

git 装好了，我们就要安装 wpscan 的依赖包了。

sudo apt-get install libcurl4-gnutls-dev libopenssl-ruby libxml2 libxml2-dev libxslt1-dev ruby-dev ruby1.9.3

把 wpscan 从 github 上 clone 下来。

git clone

现在我们可以进入这个新建立的 wpscan 目录，通过 bundler 安装必要的 ruby 包。

cd wpscan

sudo gem install bundler bundle install --without test development

现在 wpscan 装好了，我们就可以用它来搜索我们 WordPress 站点潜在的易受攻击的文件。wpcan 最重要的方面是它能列出不仅是插件和主题，也能列出用户和缩略图的功能。WPScan 也可以用来暴力破解 WordPress —— 但这不是本文要讨论的内容。

3.更新 WPScan

ruby wpscan.rb --update

列举插件

要列出所有插件，只需要加上 “--enumerate p” 参数，就像这样：

ruby wpscan.rb --url http(s):// --enumerate p

或者仅仅列出易受攻击的插件：

ruby wpscan.rb --url http(s):// --enumerate vp

下面是一些例子：

| Name: ukiscet

| Location: http://********点抗 /wp-content/plugins/akismet/

| Name: audio-player

| Location: http://********点抗 /wp-content/plugins/audio-player/

|

| * Title: Audio Player - player.swf playerID Parameter XSS

| * Reference:

| * Reference:

| * Reference:

| * Fixed in: 2.0.4.6

| Name: bbpress - v2.3.2

| Location: http://********点抗 /wp-content/plugins/bbpress/

| Readme: http://********点抗 /wp-content/plugins/bbpress/readme.txt

|

| * Title: BBPress - Multiple Script Malformed Input Path Disclosure

| * Reference:

| * Reference:

| * Reference:

| * Reference:

|

| * Title: BBPress - forum.php page Parameter SQL Injection

| * Reference:

| * Reference:

| * Reference:

| * Reference:

| Name: contact

| Location: http://********点抗 /wp-content/plugins/contact/

4.列举主题

列举主题和列举插件差不多，只要用"--enumerate t"就可以了。

ruby wpscan.rb --url http(s):// --enumerate t

或者只列出易受攻击的主题：

ruby wpscan.rb --url http(s):// --enumerate vt

例子的输出：

| Name: path

| Location: http://********点抗 /wp-content/themes/path/

| Style URL: http://********点抗 /wp-content/themes/path/style.css

| Description:

| Name: pub

| Location: http://********点抗 /wp-content/themes/pub/

| Style URL: http://********点抗 /wp-content/themes/pub/style.css

| Description:

| Name: rockstar

| Location: http://********点抗 /wp-content/themes/rockstar/

| Style URL: http://********点抗 /wp-content/themes/rockstar/style.css

| Description:

|

| * Title: WooThemes WooFramework Remote Unauthenticated Shortcode Execution

| * Reference:

| Name: twentyten

| Location: http://********点抗 /wp-content/themes/twentyten/

| Style URL: http://********点抗 /wp-content/themes/twentyten/style.css

| Description:

5.列举用户

WPscan 也可以用来列举某个 WordPress 站点的用户和有效的登录记录。攻击者常常这么做——为了获得一个用户清单，好进行暴力破解。

ruby wpscan.rb --url http(s):// --enumerate u

列举 Timthumb 文件

关于 WPscan ，我要说的最后一个功能是列举 timthub （缩略图）相关的文件。近年来，timthumb 已经成为攻击者眼里的一个常见目标，因为无数的漏洞被找出来并发到论坛上、邮件列表等等地方。用下面的命令可以通过 wpscan 找出易受攻击的 timthub 文件：

ruby wpscan.rb --url http(s):// --enumerate tt