小洞不补大洞吃苦。对于bloggers来说这是永恒的真理,仅仅花一点时间在马上就升级上省下了很多之后修复一些问题的工作。
现在,旧版本WordPress并且也没打补丁的正遭受一种蠕虫病毒的攻击。这种特别的蠕虫病毒(跟以前的差不多)的攻击方法很聪明:先注册一个用户,利用一个安全漏洞(在今年早些时候已经修复)使攻击代码通过永久链接来执行就可以使得这个用户获得管理员权限,接着当你查看当前用户页面的时候使用JavaScript脚本来隐藏自己,接下去把自己清理干净。所以当它在你的旧文章里插入垃圾广告和恶意软件时你永远也不会发现。
尽管技巧非常的新颖,但对策仍十分古老。当这个蠕虫病毒正在“清理”阶段时:它并没有很好地隐藏掉,然后博主会注意到博客里的所有链接都已失效,这样便会使他深入探究并且意识到了危害的广度。以前的蠕虫病毒会做一些傻X的事情比如破坏你的站点,但这种新的却是安静且无法察觉,所以你唯一会注意到它的破坏的时候是他们已经破坏了你的博客(就比如先前提到的那个)或者你的网站已经被google移除搜索结果因为你的站点上有垃圾广告和恶意软件。
我在这里说这个并不是吓唬你,而是提醒你这是过去已经发生过的并且将更有可能再次发生。
还是那句话,小洞不补大洞吃苦。升级的确是一项工作量挺大的活儿。WordPress社区也已经花了巨大的精力使现在升级只需一键升级。修复一个被黑掉的博客,从另一方面来说,也是非常辛苦的。打个比方来说,升级只是投入一些精力;而修复被黑掉则是心脏直视手术。(对于所需的花费来说,也是一样的。)
2.8.4,目前WordPress最新的版本,对于先前提到的那个蠕虫病毒是免疫的。(2.8.4之前的一个版本也是对此蠕虫免疫。)如果你已经在计划要升级但还没正式行动,现在就开始做吧!如果你已经升级了你的博客,或许督促、检查下你朋友的或者你阅读的那些博客,看看他们是不是需要帮助。还是那句话,小洞不补大洞吃苦。
不管蠕虫病毒什么时候登门拜访,每个人都可以使用如下三种技巧中的一种:1.阴险的小技巧;2.Club方案;3.真正的解决方案;来成为安全专家。第一种阴险的小技巧是你马上现在就可以使用的就是隐藏WordPress版本号,然后就没事儿了。额。。。不过,蠕虫的作者也会考虑这个。他们的1.0版本的蠕虫也许检查的版本号,但2.0只是测试性能,版本号根本没用。
第二种方法是Club 方案。为了阐述这个方法,我引用下Mark Pilgrim7年前一篇非常好的对付spam的文章(那是比WordPress年龄还久远的年代啊):
真正有意思的关于这些方法的,从博弈论的角度来看,是他们都是Club 方案,而不是Lojack方案。有两种基本的方法来防止你的车被盗:The Club(或者The Shield,或者汽车防盗情报,又或是其他类似的东西),以及Lojack。Club方案对于一个坚定地想要偷你车的贼来说并不怎么起作用(钻锁孔、拆掉方向盘并且关掉Club都是非常简单的)。但是对于某个只是想偷车(并非一定是你的车)的贼还是非常有效的,因为贼通常是非常慌忙的而且是找最容易下手的目标(打个比方,就像是低垂的果实)。只要不是每个人都装Club或者每个人都装了Club,对于贼来说就会花费等同的时间在任何一辆车上,于是他们的选择就会给予其他因素,那么你车的被盗可能性就跟其他车一样了。Club并不会使小偷不偷你的车,只是让他换个目标。(Aaron注:其实Club就是防君子不防小人的意思)。
Club式的博客安全方案可以是非常简单的(就比如一个.htaccess文件)也可以是非常复杂的(就像双因素验证),然后他们就可以工作了,特别是针对已知的漏洞利用。Club方案可以非常有用,就好像使用一个足够强、复杂的密码——没有人会不推荐这么做。(另外一个Club方案是换一个更少人用的软件,基于这样一个架设又也许更像是该软件声称:这是完美而且更加安全。这是为什么BeOS比Linux更加安全。)
在汽车的领域里,如果某些人发明如何将整辆车传送至“赃车店”,Club或许就不再那么有用了。不过对于Club的制造商幸运的是,这还未发生。但在网络和软件的世界里,相同的事情几乎每天发生。这里也只有一个真正的实际方案。如今以及将来我唯一能保证你的博客安全的事情就是不断地升级。
WordPress是一个由上百人组成的社区,每天都在阅读代码、审查、升级,并且在保证博客的安全性上花费了足够大的精力。我不是千里眼我也不可能预测那些写垃圾广告的、黑客、破坏者、骗子们将来会想出什么办法来损坏你的博客,但是目前我只知道只要WordPress还在我们将会尽一切力量确保软件是安全的。我们已经把升级核心组件和插件做成了一键升级。如果我们找到某些有问题的地方,我们将会发布一个修复补丁。请升级,这是唯一我们能互相帮助的。
