你的 WordPress 安全吗?
2012-02-18 | 标签: | 2 Comments
|在通常情况下,我们不会就某个程序的安全问题过多的发表评论。然而最近我们多次在对用户的网站进行检查时——这不是一种严格的内容审查制度,然而出于众所周知的原因和代替用户承担风险的考虑,我们会在力所能及的范围内浏览用户的网站——发现有恶意代码被注入,并且不止一次,不止一人。
当我们第一次发现时,如果正巧是我们较为熟悉的 WordPress,我们会尝试着找到被注入恶意代码的文件,将代码清除;评估风险系数,决定是否修改用户的密码;Email 用户进行安全提示。
如果不幸用户使用的是我们几乎没有了解,或者干脆是“来源不明”的程序,那么我们很难有简单的手段来清除隐患。举例来说,如果是一个显而易见的木马文件,那么例行的病毒扫描或能在情况还不至于太糟糕的时候发现它,但是,许多情况下,恶意代码是通过 eval 加密,以 javascript 或 iframe 的隐蔽方式导向恶意网站;重定向或者其他黑帽 SEO;利用已知或 0day 的程序漏洞未经授权取得权限……后者很难被防病毒软件发现,但仍然侵犯了用户的利益。我们需要用户对网站自身的内容负责,然而有时候人们倾向于亡羊而不补牢,很遗憾已经有这样的例子,因为安全问题——更准确的说,缺乏安全意识,对我们的提示视而不见——而被迫永久地停止用户的托管服务。
在这里管理员希望举一个关于 WordPress 的典型例子。
在过去几天我们在浏览某个用户的网站时,Avast 提示网页存在安全问题。感谢 Sucuri 提供了一个免费的扫描服务,借此,我们找到了恶意代码。出于其他考虑,我们没有在此贴出具体的代码,然而如果您有兴趣,可以查看 Sucrui 在他们网站上的说明:http://sucuri.net/malware/malware-entry-mwjsdepack
第二步是查看网页的源代码,找到恶意代码的位置并判断它可能在哪个文件中。我们首先查看了用户 WordPress 所使用的主题文件夹下的 footer.php,并没有发现异常,接着在 同一文件夹下另一个经常被污染的文件 functions.php 中找到了恶意代码。
把那段代码清除,但这还不是结束。
我们写了一个简单的 shell 脚本对服务器上所有的 functions.php 文件全部扫描了一遍,结果在另外 2 个 WordPress 网站下找到了同样的恶意代码。
因此,你可以认识到安全问题绝不是个例,而是一个普遍现象。我们的防火墙每天会屏蔽几十个尝试暴力破解的恶意 IP,有时候这个数字是 3 位数。
Yculer 歪酷人是一个致力于为小众范围的用户提供网站托管服务的团队,不是安全团队,但针对一些显而易见的错误,给出一些入门的安全提示是有必要的:
- 不要使用“破解”或来源不明的程序,你可能为此付出代价。
- 如果有可能的话,在选择建站程序时,避免在安全上饱受非议的选择(比如需要“安全审计”的DEDECMS)。
- 使用一个复杂的随机密码,千万不要使用 admin 或 123456 这样的弱口令。
- 升级您的程序到最新版本,它们可能对已知的漏洞作出了修复。
最后,如果您有相关的疑问,欢迎您与我们联系,虽然我们不能解决所有问题,但可以给您提供一个相对靠谱的建议。
安全那是相当的重要!
是的,安全是第一位的。