? ? ? ? 小洞不補(bǔ)大洞吃苦。對(duì)于bloggers來(lái)說(shuō)這是永恒的真理，僅僅花一點(diǎn)時(shí)間在馬上就升級(jí)上省下了很多之后修復(fù)一些問題的工作。

? ? ? ? 現(xiàn)在，舊版本WordPress并且也沒打補(bǔ)丁的正遭受一種蠕蟲病毒的攻擊。這種特別的蠕蟲病毒（跟以前的差不多）的攻擊方法很聰明：先注冊(cè)一個(gè)用戶，利用一個(gè)安全漏洞（在今年早些時(shí)候已經(jīng)修復(fù)）使攻擊代碼通過永久鏈接來(lái)執(zhí)行就可以使得這個(gè)用戶獲得管理員權(quán)限，接著當(dāng)你查看當(dāng)前用戶頁(yè)面的時(shí)候使用JavaScript腳本來(lái)隱藏自己，接下去把自己清理干凈。所以當(dāng)它在你的舊文章里插入垃圾廣告和惡意軟件時(shí)你永遠(yuǎn)也不會(huì)發(fā)現(xiàn)。

? ? ? ? 盡管技巧非常的新穎，但對(duì)策仍十分古老。當(dāng)這個(gè)蠕蟲病毒正在“清理”階段時(shí)：它并沒有很好地隱藏掉，然后博主會(huì)注意到博客里的所有鏈接都已失效，這樣便會(huì)使他深入探究并且意識(shí)到了危害的廣度。以前的蠕蟲病毒會(huì)做一些傻X的事情比如破壞你的站點(diǎn)，但這種新的卻是安靜且無(wú)法察覺，所以你唯一會(huì)注意到它的破壞的時(shí)候是他們已經(jīng)破壞了你的博客（就比如先前提到的那個(gè)）或者你的網(wǎng)站已經(jīng)被google移除搜索結(jié)果因?yàn)槟愕恼军c(diǎn)上有垃圾廣告和惡意軟件。

? ? ? ? 我在這里說(shuō)這個(gè)并不是嚇唬你，而是提醒你這是過去已經(jīng)發(fā)生過的并且將更有可能再次發(fā)生。

? ? ? ? 還是那句話，小洞不補(bǔ)大洞吃苦。升級(jí)的確是一項(xiàng)工作量挺大的活兒。WordPress社區(qū)也已經(jīng)花了巨大的精力使現(xiàn)在升級(jí)只需一鍵升級(jí)。修復(fù)一個(gè)被黑掉的博客，從另一方面來(lái)說(shuō)，也是非常辛苦的。打個(gè)比方來(lái)說(shuō)，升級(jí)只是投入一些精力；而修復(fù)被黑掉則是心臟直視手術(shù)。（對(duì)于所需的花費(fèi)來(lái)說(shuō)，也是一樣的。）

? ? ? ? 2.8.4，目前WordPress最新的版本，對(duì)于先前提到的那個(gè)蠕蟲病毒是免疫的。（2.8.4之前的一個(gè)版本也是對(duì)此蠕蟲免疫。）如果你已經(jīng)在計(jì)劃要升級(jí)但還沒正式行動(dòng)，現(xiàn)在就開始做吧！如果你已經(jīng)升級(jí)了你的博客，或許督促、檢查下你朋友的或者你閱讀的那些博客，看看他們是不是需要幫助。還是那句話，小洞不補(bǔ)大洞吃苦。

? ? ? ? 不管蠕蟲病毒什么時(shí)候登門拜訪，每個(gè)人都可以使用如下三種技巧中的一種：1.陰險(xiǎn)的小技巧；2.Club方案；3.真正的解決方案；來(lái)成為安全專家。第一種陰險(xiǎn)的小技巧是你馬上現(xiàn)在就可以使用的就是隱藏WordPress版本號(hào)，然后就沒事兒了。額。。。不過，蠕蟲的作者也會(huì)考慮這個(gè)。他們的1.0版本的蠕蟲也許檢查的版本號(hào)，但2.0只是測(cè)試性能，版本號(hào)根本沒用。

? ? ? ? 第二種方法是Club 方案。為了闡述這個(gè)方法，我引用下Mark Pilgrim7年前一篇非常好的對(duì)付spam的文章（那是比WordPress年齡還久遠(yuǎn)的年代�。�：

真正有意思的關(guān)于這些方法的，從博弈論的角度來(lái)看，是他們都是Club 方案，而不是Lojack方案。有兩種基本的方法來(lái)防止你的車被盜：The Club（或者The Shield，或者汽車防盜情報(bào)，又或是其他類似的東西），以及Lojack。Club方案對(duì)于一個(gè)堅(jiān)定地想要偷你車的賊來(lái)說(shuō)并不怎么起作用（鉆鎖孔、拆掉方向盤并且關(guān)掉Club都是非常簡(jiǎn)單的）。但是對(duì)于某個(gè)只是想偷車（并非一定是你的車）的賊還是非常有效的，因?yàn)橘\通常是非�；琶Φ亩�且是找最容易下手的目標(biāo)（打個(gè)比方，就像是低垂的果實(shí)）。只要不是每個(gè)人都裝Club或者每個(gè)人都裝了Club，對(duì)于賊來(lái)說(shuō)就會(huì)花費(fèi)等同的時(shí)間在任何一輛車上，于是他們的選擇就會(huì)給予其他因素，那么你車的被盜可能性就跟其他車一樣了。Club并不會(huì)使小偷不偷你的車，只是讓他換個(gè)目標(biāo)。（Aaron注：其實(shí)Club就是防君子不防小人的意思）。

? ? ? ? Club式的博客安全方案可以是非常簡(jiǎn)單的（就比如一個(gè).htaccess文件）也可以是非常復(fù)雜的（就像雙因素驗(yàn)證），然后他們就可以工作了，特別是針對(duì)已知的漏洞利用。Club方案可以非常有用，就好像使用一個(gè)足夠強(qiáng)、復(fù)雜的密碼??沒有人會(huì)不推薦這么做。（另外一個(gè)Club方案是換一個(gè)更少人用的軟件，基于這樣一個(gè)架設(shè)又也許更像是該軟件聲稱：這是完美而且更加安全。這是為什么BeOS比Linux更加安全。）

? ? ? ? 在汽車的領(lǐng)域里，如果某些人發(fā)明如何將整輛車傳送至“贓車店”，Club或許就不再那么有用了。不過對(duì)于Club的制造商幸運(yùn)的是，這還未發(fā)生。但在網(wǎng)絡(luò)和軟件的世界里，相同的事情幾乎每天發(fā)生。這里也只有一個(gè)真正的實(shí)際方案。如今以及將來(lái)我唯一能保證你的博客安全的事情就是不斷地升級(jí)。

? ? ? ? WordPress是一個(gè)由上百人組成的社區(qū)，每天都在閱讀代碼、審查、升級(jí)，并且在保證博客的安全性上花費(fèi)了足夠大的精力。我不是千里眼我也不可能預(yù)測(cè)那些寫垃圾廣告的、黑客、破壞者、騙子們將來(lái)會(huì)想出什么辦法來(lái)?yè)p壞你的博客，但是目前我只知道只要WordPress還在我們將會(huì)盡一切力量確保軟件是安全的。我們已經(jīng)把升級(jí)核心組件和插件做成了一鍵升級(jí)。如果我們找到某些有問題的地方，我們將會(huì)發(fā)布一個(gè)修復(fù)補(bǔ)丁。請(qǐng)升級(jí)，這是唯一我們能互相幫助的。

標(biāo)簽： Google linux 安全 代碼 計(jì)劃 腳本 漏洞 權(quán)限 搜索 網(wǎng)絡(luò) 網(wǎng)站 問題 選擇 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。