• 售前

  • 售后

热门帖子
入门百科

包管WordPress安全的实现方法

[复制链接]
123456811 显示全部楼层 发表于 2021-8-15 19:42:05 |阅读模式 打印 上一主题 下一主题
小洞不补大洞受苦。对于bloggers来说这是永恒的真理,仅仅花一点时间在马上就升级上省下了很多之后修复一些问题的工作。
如今,旧版本WordPress而且也没打补丁的正遭受一种蠕虫病毒的攻击。这种特别的蠕虫病毒(跟从前的差不多)的攻击方法很聪明:先注册一个用户,使用一个安全毛病(在本年早些时候已经修复)使攻击代码通过永久链接来执行就可以使得这个用户获得管理员权限,接着当你查看当前用户页面的时候使用JavaScript脚原来隐蔽自己,接下去把自己清理干净。以是当它在你的旧文章里插入垃圾广告和恶意软件时你永久也不会发现。
只管本领非常的新颖,但对策仍非常古老。当这个蠕虫病毒正在“清理”阶段时:它并没有很好地隐蔽掉,然后博主会注意到博客里的所有链接都已失效,如许便会使他深入探究而且意识到了危害的广度。从前的蠕虫病毒会做一些傻X的事变好比粉碎你的站点,但这种新的却是安静且无法察觉,以是你唯一会注意到它的粉碎的时候是他们已经粉碎了你的博客(就好比先前提到的那个)大概你的网站已经被google移除搜刮结果因为你的站点上有垃圾广告和恶意软件。
我在这里说这个并不是恐吓你,而是提醒你这是已往已经发生过的而且将更有可能再次发生。
照旧那句话,小洞不补大洞受苦。升级的确是一项工作量挺大的活儿WordPress社区也已经花了巨大的精力使如今升级只需一键升级。修复一个被黑掉的博客,从另一方面来说,也黑白常辛苦的。打个比方来说,升级只是投入一些精神;而修复被黑掉则是心脏直视手术。(对于所需的花费来说,也是一样的。)
2.8.4,如今WordPress最新的版本,对于先前提到的那个蠕虫病毒是免疫的。(2.8.4之前的一个版本也是对此蠕虫免疫。)如果你已经在计划要升级但还没正式行动,如今就开始做吧!如果你已经升级了你的博客,大概督促、检查下你朋侪的大概你阅读的那些博客,看看他们是不是需要资助。照旧那句话,小洞不补大洞受苦。
不管蠕虫病毒什么时候登门拜访,每个人都可以使用如下三种本领中的一种:1.凶险的小本领;2.Club方案;3.真正的办理方案;来成为安全专家。第一种凶险的小本领是你马上如今就可以使用的就是隐蔽WordPress版本号,然后就没事儿了。额。。。不外,蠕虫的作者也会思量这个。他们的1.0版本的蠕虫大概检查的版本号,但2.0只是测试性能,版本号根本没用。
第二种方法是Club 方案。为了阐述这个方法,我引用下Mark Pilgrim7年前一篇非常好的对付spam的文章(那是比WordPress年事还久远的年代啊)
  1. 真正<em>有意思</em>的关于这些方法的,从博弈论的角度来看,是他们都是<font color="#cc6600">Club 方案,而不是Lojack方案</font>。有两种基本的方法来防止你的车被盗:<font color="#cc6600">The Club</font>(或者The Shield,或者汽车防盗情报,又或是其他类似的东西),以及<font color="#cc6600">Lojack</font>。Club方案对于一个坚定地想要偷你车的贼来说并不怎么起作用(钻锁孔、拆掉方向盘并且关掉Club都是非常简单的)。但是对于某个只是想偷车(并非一定是你的车)的贼还是非常有效的,因为贼通常是非常慌忙的而且是找最容易下手的目标(打个比方,就像是低垂的果实)。只要不是每个人都装Club或者每个人都装了Club,对于贼来说就会花费等同的时间在任何一辆车上,于是他们的选择就会给予其他因素,那么你车的被盗可能性就跟其他车一样了。Club并不会使小偷不偷你的车,只是让他换个目标。(Aaron注:其实Club就是防君子不防小人的意思)。
复制代码
Club式的博客安全方案可以黑白常简单的(就好比一个.htaccess文件)也可以黑白常复杂的(就像双因素验证),然后他们就可以工作了,特别是针对已知的毛病使用。Club方案可以非常有效,就好像使用一个充足强、复杂的暗码——没有人会不保举这么做。(另外一个Club方案是换一个更少人用的软件,基于如许一个架设又大概更像是该软件声称:这是完善而且更加安全。这是为什么BeOS比Linux更加安全。)
在汽车的范畴里,如果某些人发明怎样将整辆车传送至“赃车店”,Club大概就不再那么有效了。不外对于Club的制造商幸运的是,这还未发生。但在网络和软件的天下里,相同的事变几乎每天发生。这里也只有一个真正的实际方案。如今以及未来我唯一能保证你的博客安全的事变就是不绝地升级。
WordPress是一个由上百人组成的社区,每天都在阅读代码、审查、升级,而且在保证博客的安全性上花费了充足大的精神。我不是千里眼我也不可能猜测那些写垃圾广告的、黑客、粉碎者、骗子们未来会想出什么办法来损坏你的博客,但是如今我只知道只要WordPress还在我们将会尽统统气力确保软件是安全的。我们已经把升级核心组件和插件做成了一键升级。如果我们找到某些有问题的地方,我们将会发布一个修复补丁。请升级,这是唯一我们能相互资助的。

帖子地址: 

回复

使用道具 举报

分享
推广
火星云矿 | 预约S19Pro,享500抵1000!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

草根技术分享(草根吧)是全球知名中文IT技术交流平台,创建于2021年,包含原创博客、精品问答、职业培训、技术社区、资源下载等产品服务,提供原创、优质、完整内容的专业IT技术开发社区。
  • 官方手机版

  • 微信公众号

  • 商务合作