WordPress主题后门严重威胁网站安全

标签: 最佳实践 | 发表时间:2014-09-04 18:11 | 作者:阿里云技术团队
出处:http://blog.aliyun.com

作者:田民 赤莺

 

WordPress是国内站长非常喜欢采用的一款建站应用软件,由于其具有非常丰富的模版和插件,具有良好的可扩展性。特别对于博客类网站,WordPress几乎成为建站首选。

在阿里云安全团队的日常运营中,我们发现,WordPress一直是黑客攻击的主要目标。下图是阿里云云盾安全运营团队对第三方应用遭受攻击的统计(Source:第27期阿里云云盾安全运营报告,http://security.aliyun.com/doc/view/13762631.html):

  1

图1 WordPress是攻击者最主要的攻击目标之一

 

从上图来看,WordPress是攻击者最主要的攻击目标应用之一。这很大程度上在于WordPress应用在建站中的大量采用,以及不断暴露出来的安全隐患。

WordPress存在安全隐患的原因主要在于两个方面:一方面由于应用功能的丰富,程序越来越复杂,WordPress屡暴漏洞在所难免;另一方面提供WordPress主题和插件下载的网站五花八门、鱼龙混杂。很多黑客恰恰利用了这个现状,通过各种提供WordPress建站资源下载的网站散布带有恶意脚本的插件。事实上,上述两方面原因中后者的安全隐患更大。对于一个渴望找到建站资源的网站站长,在下载插件程序时,往往疏于防护,对提供下载资源的来源网站不加选择。

云盾安全技术团队在不久前截获了一个带有后门的WordPress程序。这个后门程序存在于WordPress一个叫做“KnowHow”的主题插件中。在这个插件里,我们发现如下代码:

  2

图2: WordPress主题程序中的后门

 

红圈内的代码,很显然,就是后门。攻击者利用这个后门可以进一步获得网站的控制权。

经过云盾安全技术人员进一步调查,KnowHow是一款非常流行的WordPress主题。KowHow主题是收费的,价格为48美金。为了明确问题的根源,技术人员决定从确定被植入后门的程序来源入手。

我们联系了用户。和用户沟通后证实,该用户并非购买的正版主题,而是从国内某偏僻站点下载。与此同时,我们从官方渠道下载了一份同版本的主题程序,两者进行了比较。结果证实官方版本中并没有相对应的后门代码。因此,用户下载的程序显然是被人恶意修改后发布的版本。

我们并没有到此止步。云盾安全技术人员接下来经过搜索和对比, 发现大量国内此主题的下载文件中被人嵌入了类似的后门。

在明确了后门问题的原因后,云盾安全运营团队立刻对阿里云全网用户进行了扫描,并在第一时间通知了存在类似安全隐患的阿里云用户。

 

最后,对于WordPress KnowHow主题后门,阿里云云盾安全运营团队提出如下建议:

第一,请已下载并安装Knowhow主题的站长尽快检查自己的网站服务器,找到 /wp-content/themes/knowhow/functions.php文件,对比上文检查是否存在恶意代码。后门特征一般含有eval字符;

第二,从官方或具有良好信誉的网站下载插件,不要随意下载/添加不明站点的代码;

第三,请购买正版软件。

相关 [wordpress 后门 严重] 推荐:

WordPress主题后门严重威胁网站安全

- - 阿里云产品博客
WordPress是国内站长非常喜欢采用的一款建站应用软件,由于其具有非常丰富的模版和插件,具有良好的可扩展性. 特别对于博客类网站,WordPress几乎成为建站首选. 在阿里云安全团队的日常运营中,我们发现,WordPress一直是黑客攻击的主要目标. 下图是阿里云云盾安全运营团队对第三方应用遭受攻击的统计(Source:第27期阿里云云盾安全运营报告,http://security.aliyun.com/doc/view/13762631.html):.

WordPress脚本严重漏洞被曝光 可被外部写入文件

- Jet - cnBeta.COM

WordPress SEO 宝典

- luckerme - 我爱水煮鱼
最基本的搜索引擎优化(SEO)是很简单的,而 WordPress 程序本身的一些优势使得 SEO 变得更加容易,比如我爱水煮鱼有超过 70% 的流量来自搜索引擎,所以做好 SEO 就是流量的保证,这篇文章就给大家介绍下在 WordPress 博客中最基本的一些 SEO 要求,希望能够帮助到你. 简单来说 SEO 分为页面优化和链接建设两大部分,页面优化是基础,而链接建设则是重点,两者缺一不可.

WordPress 技巧

- - CSDN博客互联网推荐文章
WordPress字体设置方法详解.          WordPress开源程序功能越来越强大,未来我们不仅仅可以使用wordpress制作个人博客,还可以使用wordpress程序制作CMS内容管理系统. 很多 Wordpress主题SEO优化的非常好,而且还附带了一些adsense广告位置,让不懂SEO以及代码修改的朋友轻松解决博客优化以及广告位放置问题.

WordPress SEO 宝典

- - 人人都是产品经理
最基本的搜索引擎优化(SEO)是很简单的,而 WordPress 程序本身的一些优势使得 SEO 变得更加容易,比如我爱水煮鱼有超过 70% 的流量来自搜索引擎,所以做好 SEO 就是流量的保证,这篇文章就给大家介绍下在 WordPress 博客中最基本的一些 SEO 要求,希望能够帮助到你. 简单来说 SEO 分为页面优化和链接建设两大部分,页面优化是基础,而链接建设则是重点,两者缺一不可.

WordPress 相关日志插件:WordPress Related Posts

- - 我爱水煮鱼
我们知道 WordPress 使用的 MySQL 数据库默认是不支持中文分词,所以在中文情况下产生相关日志的最好方法就是通过 Tag,而. WordPress 2.3 版本开始 WordPress 内置了 Tag 的支持. 所以根据日志含有相同的 Tag 数越多,就认为日志相关性越强,所以我根据这一原理开发了 WordPress Related Posts 这个插件,最新版已经由 Zemanta 接手继续开发了.

WordPress如何赚钱?

- 幻幽 or A書 - 36氪
WordPress是一个免费的开源博客平台,那么它是如何赚钱的呢. 创始人Matt给出了以下7点盈利来源:. 比如说为Om Malik,Allthings D这样的大公司博客提供博客托管,他们就会收取每月500美元. 有时候你可能会在WordPress平台上的免费博客内看到Google广告,不过这取决于以下3个条件都存在——访客使用的不是火狐浏览器,他已经登出WordPress账户(如果他有的话),链接源不能是WordPress平台博客(比如一个从abc.wordpress.com到xyz.wordpress.com的人不会看到任何Google广告).

WordPress 3.2 正式发布

- 小老虎 - cnBeta.COM
WordPress在美国独立日发布了3.2正式版,这是3.1版本发布一个月,下载量突破1500万后的又一个主要版本,新版带来了更快的速度和更轻量级的代码,并带来了HTML5构建的Twenty Eleven主题,在写文章的同时还可以以全屏方式进行.

FancyBox 和其 WordPress 插件

- Outman - 我爱水煮鱼
FancyBox 是一个 jQuery 图片播放插件,它可以使用类似于 MAC 系统中 “Lightbox” 方式在网页前面浮动显示和播放图片,网页内容,或者其他多媒体内容. 支持图片,HTML 元素,Flash 动画,Iframe 以及 AJAX 支持. 可以自定义播放器和 CSS 样式. 如果加载了鼠标滚动插件(mouse wheel plugin),FancyBox 还支持通过鼠标滚动事件来翻阅图片.