WordPress 出现重大漏洞(remv.php) 建议升级至 2.7
欢迎光临本站!我们致力为你提供更好的服务,请 订阅本站Feed 获取每天最新信息。WordPress 中文站主要为你提供 WordPress 最新的新闻,插件、主题更新的信息,入门的教程,使用的技巧,博客的资源与优化,安全问题的提醒与修复方案,以及博客相关的方方面面。
更正说明:今早看到这篇文章,不小心看出几个关键词汇,导致翻译出现失误,出现重大失误。欢迎大家转载此更正的文章,以免造成误会。
如果你还没有升级到 WordPress 2.7,那么我建议你暂时缓缓尽快升级。这个此前版本发现了重大漏洞,可能会导致遭受 DDoS 攻击。
如何查看自己是否被黑?
通过 FTP 或者 CPanel 查看目录 /wp-content/themes/ ,查看是否存在名字为 remv.php 的文件。如果存在,那么你已不幸中彩。
什么是 remv.php ?
remv.php 是一个叫做 PHPremoteView 的应用,它允许任何人在你的主机商运行任何 php 命令。这样的结果当然很严重(丢失文件、密码,修改你的 AdSense 代码,修改推介程序链接等)。
这种漏洞通常会被用作 DDoS 攻击。如果注意到你的主机负载很高,可能就是这个漏洞所致。
如何修复?
- 首先删除 remv.php 文件;
- 查看 WordPress 文件夹内是否有其他文件被修改,尤其是主题的页眉、页脚以及带有推介链接的页面;
- 通过 XML 方式导出你的 WordPress 文章,并重新安装 WordPress 2.7 ,再导入你的文章;
- 如果你在服务器上运行多个站点,检查全部文件。
- 修改你的全部密码,用户、root帐户,WordPress,MySQL数据库 等全部的密码。
- 升级你的插件到最新版(有些可能在 2.7 下还不能用)。
原文:Hack Alert (remv.php) – Upgrade to Wordpress 2.7
中文:WordPress 2.7 出现重大漏洞(remv.php)
本站地址: WordPress 非官方中文站[http://wpchina.org/]
如何预防呢?
这么严重!
嘻嘻 我们可以用和Windows中一样的招数来对付的,自己上传一个以remv.php命名的空目录就ok了,我觉得应该可以嘀
看起来很严重,有没有漏洞修复补丁?
还好没中招
那应该怎么预防呢?
好像这是一个插件引起的漏洞,个人理解来看,jiang没有说的太清楚,估计没有这个插件的用户不会受到太大的影响。
哪个插件呢?
这里没有说的太清楚,不知道怎么防,也不知道怎么中的…
[...] WPChina.org 的《WordPress 2.7 出现重大漏洞(remv.php)》與《升级到Wordpress 2.7的用户注意下Hack Alert (remv.php)》,然後 Wopus.org [...]
弄错了,是旧版本有漏洞。
原来是虚惊一场
[...] 今天看到说WordPress2.7之前的版本存在重大安全漏洞,刚还在和作甚讨论是否升级,转身就看到了台湾的麦克斯同学发布了一个介绍WordPress2.7的密码保护方案。 不管是全新安装的2.7还是升级到的2.7,都请注意WP-config.php的如下字段(我这里是37-40行): define(’AUTH_KEY’, ‘put your unique phrase here’); define(’SECURE_AUTH_KEY’, ‘put your unique phrase here’); define(’LOGGED_IN_KEY’, ‘put your unique phrase here’); define(’NONCE_KEY’, ‘put your unique phrase here’); 按照原来用法,就是把put your unique phrase here 字串换成属于你自己的专有字符串,当然也可以到 http://api.wordpress.org/secret-key/1.1/ 由网页自动生成,然后将网页产生的字串一一取代put your unique phrase here字串即可。 我还是没决定好升级2.7,虽然嵌套评论插件又升级来适应2.7了…… [...]
无语,犯了重大的错误却只舍得在原文修改几个字,然后报以“不小心”
真可怜
人都有疏忽大意的时候,能及时更正就好
[...] 17a2ea36今天被一条新闻给吓到了,在Wopus上和wordress非官方中文站上均有一条新闻指出了wordpress 2.7爆出重大安全漏洞(不过后来发现是翻译出错,都在原来文章上改正了原来的错误),初初以为新生的wordpress2.7竟然会爆出这样的安全漏洞,着实让Johnny汗了一把。直到刚才再继续关注那条新闻时,才发现原来是翻译出错引发的一场误会。在台湾一位童学的blog中便有对这次错误报道作了分析,敢兴趣的童学可以看看此文章《WordPress 2.7 至今仍未發現重大漏洞》。 [...]
[...] 今天被一条新闻给吓到了,在Wopus上和wordress非官方中文站上均有一条新闻指出了wordpress 2.7爆出重大安全漏洞(不过后来发现是翻译出错,都在原来文章上改正了原来的错误),初初以为新生的wordpress2.7竟然会爆出这样的安全漏洞,着实让Johnny汗了一把。直到刚才再继续关注那条新闻时,才发现原来是翻译出错引发的一场误会。在台湾一位童学的blog中便有对这次错误报道作了分析,敢兴趣的童学可以看看此文章《WordPress 2.7 至今仍未發現重大漏洞》。 [...]
虚惊,擦汗….
修改该目录权限666。windows的就IIS里设这个目录无执行权限。我看它还牛什么。
[...] 个人对于WordPress的升级一直不太感冒,反正能用就好也不追求什么新功能。何况,升级往往会还来新的漏洞,之前WordPress也爆过一次漏洞,而且是高危,不过还好,只是单纯的翻译错误。而这次爆的漏洞却是真真正正的2.7漏洞,不过利用这个漏洞的要求有点高:有管理员的权限。虽然可以执行任何代码,但门槛太高利用的机会估计不会太大。 [...]
[...] 虽然我16天没写日志,但关于WordPress的,我还是留意着的.首先就是WordPress 更新到2.7.WordPress2.7我是从测试版就开始用了.到正式版发布时,我更新了两次.为什么呢.因为第一次自动更新的是英文版.后来WordPress官方中文站点出来,又更新了一次.这个是官方出的中文版.是由大大陈少钧在维护的.对WordPress中国的爱好者来说这是一个天大的好消息,不过也有一件关于WordPress2.7的乌龙事件(WordPress 出现重大漏洞(remv.php) 建议升级至 2.7,WordPress 曝重大漏洞请速升级) 最后圣诞照片N张. [...]
想不出对一个普通的博客,有什么理由,谁会用ddos来攻击?
[...] 虽然我16天没写日志,但关于WordPress的,我还是留意着的.首先就是WordPress 更新到2.7.WordPress2.7我是从测试版就开始用了.到正式版发布时,我更新了两次.为什么呢.因为第一次自动更新的是英文版.后来WordPress官方中文站点出来,又更新了一次.这个是官方出的中文版.是由大大陈少钧在维护的.对WordPress中国的爱好者来说这是一个天大的好消息,不过也有一件关于WordPress2.7的乌龙事件(WordPress 出现重大漏洞(remv.php) 建议升级至 2.7,WordPress 曝重大漏洞请速升级) [...]
这个好用吗!