你的WordPress足够安全吗?【主题插件篇】
这是Chada再一次提到WordPress的安全问题。在刚刚接触WordPress的时候Chada就喜欢逛国外的基于WordPress的博客,那时翻译了一篇文章“黑客们在利用WordPress主题吗?”。在这篇文章里原文作者提到,因为WordPress的灵
活性和可定制性,成为了世界上用户数量最多的博客平台。但也正因为如此,WordPress成为了黑客们开始关注的对象。在文章中提到了几个WordPress主题再配布站点,这些站点在其收集的主题中加入了一些恶意代码或者是广告代码,因此提醒广大WordPress用户注意不要随意下载主题。
这篇文章在翻译后被很多“朋友”转载,但是并非所有人都同意黑客利用主题作恶这一事实,因为中国没有发生。不久,Chada在论坛就看到一个网友发帖说,他的WordPress被一个土耳其黑客黑了。虽然这并不足以证明是主题漏洞,但是从那时起Chada就开始注意自己的WordPress安全。而今天Chada在查阅资料时,再一次看到一个以色列的WordPress博客被沙特阿拉伯黑客黑掉[见下图]。因此觉得有必要提醒一下朋友们,你的WordPress足够安全吗?
一、你使用的主题和插件是否安全?
在上文提到的内容中已经涉及到这个内容,因为我们大多数人使用的都是其他博客设计者开发的WordPress主题和插件,所以有关主题和插件的安全性很值得关注。当然,大多数主题设计者和插件开发者都不会在他们的作品中做手脚。这里说的是来源于那些主题和插件再配布站点的主题和插件。
很多主题和插件再配布站点都或多或少会在主题中加入一些东西,如他们网站的链接。因由WordPress的灵活性和易定制性,通过一些简单的php代码便可以修改你的后台密码。
Chada今天做了一个简单的实验,在主题文件夹中加入一个文件,然后写了几句修改WordPress密码的php语句,通过访问绝对地址很容易就修改了后台密码。如果有朋友想要研究,可以在下面留言,Chada可以将这个文件发送给你。 [中国很多同学都喜欢用这些东西做一些小破坏,所以不提供下载,当然稍微懂点php+mysql的人都可以编写出这个文件。]
这里的意思是说,如果你想要下载一个主题或插件,最好到主题设计者和插件开发者网站或者是WordPress官方网站的主题目录和插件目录下载,这是最安全的。另外,Chada还收集了几个比较著名的WordPress主题和插件站,在这些站点下载主题和插件也相对来说是安全的:
主题站:
1、www.wpthemesfree.com
2、www.wpthemespot.com
3、www.wordpress-theme.org
4、www.bloggingthemes.com
插件站:
1、WordPress Plugins Database
在接下来,Chada将从后台密码以及数据库,Cpanel等其他安全方面说开,你可以看看你的WordPress是否安全。
【本系列其他文章】
*你的WordPress足够安全吗?【后台篇】
*你的WordPress足够安全吗?【其它篇】
本文作者:
作者:Chada
地址:http://appsket.com/
#客家人 #北漂 #民工 #Web2.0 #胡同 #老北京酸奶 #前端 #偶尔愤青 #我爱国图 #西直门 #糖水 #@iChada #暴走
theme是个很容易入手的地方…所以我下theme过来第一件事就是大致看看里面的源代码
但这个方法很傻,还是安耽去信任的站下载最安全
现在的Theme是自己写的,所以不存在多大的安全隐患~~~~
我的被人家植入过两次恶意代码,搞的人家都以为我网站有木马。。。现在升级了好点了。。。
嗯,很多网友都直接在某个配布站下载下来后就直接用了。虽然目前还没有看到过有因为主题原因被黑的,小心为上。
自己动手,丰衣足食^^
咔咔,碰到这种情况是最尴尬的,有时候百口莫辩啊。
对头,还是自己DIY用得舒服点,下载的免费主题中觉得有点不怎么合适自己使用^_^