Tag: 安全

Posted on

重置WordPress密码

原文链接:Passwords Reset 作者:Matt Mullenweg

今早,WordPress团队发现有些比较著名的插件(AddThis, WPtouch,W3 Total Cache)的代码库里含有伪装地很巧妙的后门代码提交,并认为这些代码提交并不是来自插件作者,于是回滚了这些代码,推送了这些插件的更新。我们正在看还有没有其他的漏洞,在此期间,禁止这些插件代码库的访问。

我们仍在调查究竟发生了什么,但是保险起见,我们决定强制重置所有WordPress.org上的密码。 戳这里来重置下密码,然后才能继续使用论坛、trac、向插件及主题提交代码。(bbPress.org和BuddyPress.org也一样。)

作为用户,不要在不同的地方使用相同的密码。此外,我们希望重置后的密码不要跟旧的一样。

还有,如果你用AddThisWPtouchW3 Total Cache这几款插件的话,有可能你昨天就更新过了,但保险一点,还是去后台的更新页面上检查下是不是已经更新到最新的版本。

译者滴P.S.: 因为这篇文章涉及安全性,比较紧急,于是就“较早”地发出来,剩余几篇没翻译的开发日志,我只能保证“尽早”发布。:)

Posted on

WordPress 2.8.6 安全更新

翻译自原文: WordPress 2.8.6 Security Release

Ryan Boren所写. 分类于Releases, Security.

2.8.6修复了两个安全问题,可能会被那些已经注册的、已经登录且有发表文章权限的用户所利用。如果你的博客上有不明作者,我们推荐升级到2.8.6。

第一个问题是一个是Press This插件中XSS的易被攻击性,由Benjamin Felsch发现。第二个则是由Dawid Golunski所发现,这个问题是当清理上传文件名时会在特定Apache配置下被利用。多亏Benjamin和Dawid发现并报告这些问题。

下载WordPress 2.8.6.

Posted on

WordPress 2.8.5: 安全性更新

翻译自原文:WordPress 2.8.5: Hardening Release

Peter Westwood所写。 归类于Releases, Security.

众所周知,过去的几个月我们致力于开发WordPress 2.9的新功能。同时我们也尽力使得WordPress更加安全。在这期间,我们发现了一些安全上的改进,我们认为非常值得让2.8也同样有这些改进并使你的站点更加安全。

如下是在这个版本中的主要改进:

  • 修复了一个目前发现的Trackback拒绝服务攻击 。
  • 清楚代码内有php代码中测试的变量。
  • 将所有用户包括管理员调整到文件上传白名单内。
  • 放弃两个老的Tag导入插件。

为了保证你们有目前最佳的保护,我们推荐所有的站点都升级到最新的WordPress。

如果你认为你的站点或许被某个最近发现的漏洞所攻击并且你想保证你已经清楚了所有的可被利用的漏洞,那我们推荐你尝试下WordPress Exploit Scanner。这个插件会查找你网站上的文件还有你数据库里日志和评论这两张表来检测是否有任何可疑之处。另外它也会检查目前激活的插件,看是否有不正常的文件名。关于这个插件更多的信息可以看这里:“WordPress Exploit Scanner”。

——————————–

这篇文章发布很久了,一直“没时间”去翻译&更新,写完,也刚把AaronMix升级到2.8.5……

Posted on

怎样保证WordPress的安全

翻译自原文:How to Keep WordPress Secure

Matt所写。 归档于 开发, 安全.。

小洞不补大洞吃苦。对于bloggers来说这是永恒的真理,仅仅花一点时间在马上就升级上省下了很多之后修复一些问题的工作。

现在,旧版本WordPress并且也没打补丁的正遭受一种蠕虫病毒的攻击。这种特别的蠕虫病毒(跟以前的差不多)的攻击方法很聪明:先注册一个用户,利用一个安全漏洞(在今年早些时候已经修复)使攻击代码通过永久链接来执行就可以使得这个用户获得管理员权限,接着当你查看当前用户页面的时候使用JavaScript脚本来隐藏自己,接下去把自己清理干净。所以当它在你的旧文章里插入垃圾广告和恶意软件时你永远也不会发现。

尽管技巧非常的新颖,但对策仍十分古老。当这个蠕虫病毒正在“清理”阶段时:它并没有很好地隐藏掉,然后博主会注意到博客里的所有链接都已失效,这样便会使他深入探究并且意识到了危害的广度。以前的蠕虫病毒会做一些傻X的事情比如破坏你的站点,但这种新的却是安静且无法察觉,所以你唯一会注意到它的破坏的时候是他们已经破坏了你的博客(就比如先前提到的那个)或者你的网站已经被google移除搜索结果因为你的站点上有垃圾广告和恶意软件。

我在这里说这个并不是吓唬你,而是提醒你这是过去已经发生过的并且将更有可能再次发生。

还是那句话,小洞不补大洞吃苦。升级的确是一项工作量挺大的活儿WordPress社区也已经花了巨大的精力使现在升级只需一键升级。修复一个被黑掉的博客,从另一方面来说,也是非常辛苦的。打个比方来说,升级只是投入一些精力;而修复被黑掉则是心脏直视手术。(对于所需的花费来说,也是一样的。)

2.8.4,目前WordPress最新的版本,对于先前提到的那个蠕虫病毒是免疫的。(2.8.4之前的一个版本也是对此蠕虫免疫。)如果你已经在计划要升级但还没正式行动,现在就开始做吧!如果你已经升级了你的博客,或许督促、检查下你朋友的或者你阅读的那些博客,看看他们是不是需要帮助。还是那句话,小洞不补大洞吃苦。

不管蠕虫病毒什么时候登门拜访,每个人都可以使用如下三种技巧中的一种:1.阴险的小技巧;2.Club方案;3.真正的解决方案;来成为安全专家。第一种阴险的小技巧是你马上现在就可以使用的就是隐藏WordPress版本号,然后就没事儿了。额。。。不过,蠕虫的作者也会考虑这个。他们的1.0版本的蠕虫也许检查的版本号,但2.0只是测试性能,版本号根本没用。

第二种方法是Club 方案。为了阐述这个方法,我引用下Mark Pilgrim7年前一篇非常好的对付spam的文章(那是比WordPress年龄还久远的年代啊)

真正有意思的关于这些方法的,从博弈论的角度来看,是他们都是Club 方案,而不是Lojack方案。有两种基本的方法来防止你的车被盗:The Club(或者The Shield,或者汽车防盗情报,又或是其他类似的东西),以及Lojack。Club方案对于一个坚定地想要偷你车的贼来说并不怎么起作用(钻锁孔、拆掉方向盘并且关掉Club都是非常简单的)。但是对于某个只是想偷车(并非一定是你的车)的贼还是非常有效的,因为贼通常是非常慌忙的而且是找最容易下手的目标(打个比方,就像是低垂的果实)。只要不是每个人都装Club或者每个人都装了Club,对于贼来说就会花费等同的时间在任何一辆车上,于是他们的选择就会给予其他因素,那么你车的被盗可能性就跟其他车一样了。Club并不会使小偷不偷你的车,只是让他换个目标。(Aaron注:其实Club就是防君子不防小人的意思)。

Club式的博客安全方案可以是非常简单的(就比如一个.htaccess文件)也可以是非常复杂的(就像双因素验证),然后他们就可以工作了,特别是针对已知的漏洞利用。Club方案可以非常有用,就好像使用一个足够强、复杂的密码——没有人会不推荐这么做。(另外一个Club方案是换一个更少人用的软件,基于这样一个架设又也许更像是该软件声称:这是完美而且更加安全。这是为什么BeOS比Linux更加安全。)

在汽车的领域里,如果某些人发明如何将整辆车传送至“赃车店”,Club或许就不再那么有用了。不过对于Club的制造商幸运的是,这还未发生。但在网络和软件的世界里,相同的事情几乎每天发生。这里也只有一个真正的实际方案。如今以及将来我唯一能保证你的博客安全的事情就是不断地升级。

WordPress是一个由上百人组成的社区,每天都在阅读代码、审查、升级,并且在保证博客的安全性上花费了足够大的精力。我不是千里眼我也不可能预测那些写垃圾广告的、黑客、破坏者、骗子们将来会想出什么办法来损坏你的博客,但是目前我只知道只要WordPress还在我们将会尽一切力量确保软件是安全的。我们已经把升级核心组件和插件做成了一键升级。如果我们找到某些有问题的地方,我们将会发布一个修复补丁。请升级,这是唯一我们能互相帮助的。

Posted on

驳:矿泉水瓶反复使用会致癌

最近有篇题为“矿泉水反复使用会致癌”的文章纷纷转载在各大论坛、网站、SNS及博客上,大致意思就是某个阿联酋的女孩使用了16个月的矿泉水瓶得了癌症,然后介绍了各种矿泉水瓶的材质,并强调了反复使用会致癌的危险。一时间弄得很多人人心惶惶。我不懂化学,特别是有机化学,但据我在google上搜索的资料及自己的常识马上可以得出这篇文章漏洞百出。

首先,该文引用了这位12岁阿联酋少女的例子来证明反复使用矿泉水瓶会致癌。显示就有很多逻辑上的错误:

  1. 会不会因为其他原因致癌?而不是反复使用矿泉水瓶?
  2. 她是怎么使用的?是蒸?是煮?烤?炸?还是其他怎样?
  3. 12岁阿联酋迪拜少女,是否修饰语太多?对于21岁中国上海男人是否同样会致癌?
  4. 就一例事件怎么足够论证?

还有就不一一列举了。

于是作者便介绍了制作饮料瓶最通用的材料PET,接着说“部分学者认为其里面有一种叫做diethylhydroxylamine (乙基己基胺)或简称DEHA的潜在致癌物质,用一次是安全的,如果你因节俭或方便而重复使用,就有致癌危机。”。google了一下,其实部分学者其实是University of Idaho的学生们的理论,文中所说的DEHA其实早在1991年U.S. Environmental Protection Agency就把其归类为”possible human carcinogen”(即可能的人类致癌物),然后到了1995年,EPA这样描述它的”…overall, the evidence is too limited to establish that DEHA is likely to cause cancer.”(……总之,证据不足以说明DEHA有可能导致癌症)。再深入研究下去,DEHA并不是PET中所固有的,无论是作为原材料、副产品还是分解物,DEHA是一种常见的在无数塑料制品中都存在的可塑剂,而且大多数都是在实验室中发现的,那些学生的发现非常有可能是实验中不小心的污染造成的。另外,FDA澄清说即使DEHA存在也不会对健康造成风险。

DEHA的致癌性算是解决了。

然后作者说“原来每个保特瓶,在底部都有一个数字。( 它是一个带箭头的三角型 ,三角型里面有一个数字 )。假若数字在 “05” 或以上就可以循环再用。而数字愈大愈安全。假若小于 “05”,即 “04” 或以下,甚至没有数字,请勿再利用或加热使用。”

继续google一番后,发现作者所说的“数字”其实是The Plastic Bottle Material Code System,也就是塑料瓶材料编码系统。由于在对塑料瓶分类、收集、清洁和再处理过程中的难度和花费,于是制定出了一系列的编码。

300px-Plastic_recycle

即数字仅仅代表了材质的种类,如下图:

Recyclingsymbols

在某些地方是只回收几种的,有些地方是1-7全部回收的,比如洛杉矶。而文中还说到一种“0 ”编号的,这种也是存在的,是2007年加州参议院提出了一项把“0”作为compostable polylctic acid的法案。

关于PET瓶的多次使用,FDA也是允许一次或多次使用的。

后来,这篇文章具体讲了塑料瓶的材质,也无心去质疑了。至此,该篇文章漏洞基本揭露完毕。

而关于塑料瓶的安全性,还是有几点需要注意的。

  1. PET塑料瓶如需再使用,最好的建议是用肥皂水清洗,彻底晾干后即可安全饮用。因为无论何种瓶子,打开瓶盖后细菌便会进入,冷不丁你的瓶子变成了细菌滋生的良好场所。
  2. 遵照产品标识上的使用,比如某些PET制的微波炉盘子就只能是使用一次的。

最后我想讲的是,这篇文章漏洞百出,却能在各大社区里反复转载,原因是什么呢?希望大家对这种有争议的文章还是多加甄别,勤用搜索引擎,不要想当然的一恐慌就疯狂转载。

—————————————————-

参考资料:

  1. http://www.plasticsinfo.org/
  2. http://www.hoax-slayer.com/plastic-bottles-cancer.html
  3. http://en.wikipedia.org/wiki/Plastic_bottle
  4. http://en.wikipedia.org/wiki/Resin_identification_code
  5. http://en.wikipedia.org/wiki/Polyethylene_terephthalate