更正说明:今早看到这篇文章,不小心看出几个关键词汇,导致翻译出现失误,出现重大失误。欢迎大家转载此更正的文章,以免造成误会。
如果你还没有升级到 WordPress 2.7,那么我建议你暂时缓缓尽快升级。这个此前版本发现了重大漏洞,可能会导致遭受 DDoS 攻击。
如何查看自己是否被黑?
通过 FTP 或者 CPanel 查看目录 /wp-content/themes/ ,查看是否存在名字为 remv.php 的文件。如果存在,那么你已不幸中彩。
什么是 remv.php ?
remv.php 是一个叫做 PHPremoteView 的应用,它允许任何人在你的主机商运行任何 php 命令。这样的结果当然很严重(丢失文件、密码,修改你的 AdSense 代码,修改推介程序链接等)。
这种漏洞通常会被用作 DDoS 攻击。如果注意到你的主机负载很高,可能就是这个漏洞所致。
如何修复?
- 首先删除 remv.php 文件;
- 查看 WordPress 文件夹内是否有其他文件被修改,尤其是主题的页眉、页脚以及带有推介链接的页面;
- 通过 XML 方式导出你的 WordPress 文章,并重新安装 WordPress 2.7 ,再导入你的文章;
- 如果你在服务器上运行多个站点,检查全部文件。
- 修改你的全部密码,用户、root帐户,WordPress,MySQL数据库 等全部的密码。
- 升级你的插件到最新版(有些可能在 2.7 下还不能用)。
原文:Hack Alert (remv.php) – Upgrade to WordPress 2.7
中文:WordPress 2.7 出现重大漏洞(remv.php)
-
1 WordPress 4.9.7 安全维护升级版本发布
-
2 WordPress 4.9.5 升级版本发布
-
3 WordPress 4.9.3 和 4.9.4 升级版本发布
-
4 WordPress 4.9.3 Beta 版发布,移除 JSHint
-
5 32步WordPress网站安全终极检查清单:第28~32步
-
6 32步WordPress网站安全终极检查清单:第18~22步
-
7 32步WordPress网站安全终极检查清单:第13~17步
-
8 32步WordPress网站安全终极检查清单:第6~12步
-
9 32步WordPress网站安全终极检查清单:第1~5步
-
10 32步WordPress网站安全终极检查清单 – 目录
如何预防呢?
这么严重!
嘻嘻 我们可以用和Windows中一样的招数来对付的,自己上传一个以remv.php命名的空目录就ok了,我觉得应该可以嘀
看起来很严重,有没有漏洞修复补丁?
还好没中招
那应该怎么预防呢?
好像这是一个插件引起的漏洞,个人理解来看,jiang没有说的太清楚,估计没有这个插件的用户不会受到太大的影响。
哪个插件呢?
这里没有说的太清楚,不知道怎么防,也不知道怎么中的…
Pingback: WordPress 2.7 至今仍未發現重大漏洞 « Kirin Lin
弄错了,是旧版本有漏洞。
原来是虚惊一场
Pingback: WordPress2.7密码保护 | 流星天空
无语,犯了重大的错误却只舍得在原文修改几个字,然后报以“不小心”
真可怜
人都有疏忽大意的时候,能及时更正就好
Pingback: 一次翻译失误引发的闹剧 - 寂寞部屋
Pingback: 一次翻译失误引发的闹剧 at 华丽的忧伤
虚惊,擦汗….
修改该目录权限666。windows的就IIS里设这个目录无执行权限。我看它还牛什么。
Pingback: Kee & Design : Blog Archive : WordPress 2.7 爆转义替换漏洞,危害不大但仍需注意
Pingback: 圣诞快乐 | 猫言猫语
想不出对一个普通的博客,有什么理由,谁会用ddos来攻击?
Pingback: 圣诞快乐 « Shinko168’s Weblog
这个好用吗!
Pingback: WordPress 3.0.5 中文版 | 阿榮福利味wp