Wordpress正在以一个前所未有的速度发展——无论是作为博客托管平台,还是个人博客站点的安装。它的快速发展、开放性和博客设计的灵活性意味着它可能成为黑客攻击的目标。他们在主体中嵌入恶意代码,然后通过互联网发布出去。
它成功的一个原因是它定制的灵活性。Wordpress是用PHP写成的,它的运行围绕着一个被称之为“主循环”[the Loop]的核心。每当一个博客页面被访问一次,这个页面的每一个部分就被执行一遍——页首[the Header]、页面和日志、侧边栏[the Sidebar]和页尾[the Footer]。博客运营商[者]们可以自由地改变这些部分:他们可以定义字体和颜色的样式,他们可以改变PHP代码以展示作者的详细资料以及受欢迎的标签等。他们还可以安装插件以进一步扩展他们博客站点的功能。
设计者们在主题中捆绑页面式样和PHP代码,有时候也捆绑一些插件。一个Wordpress主题不仅仅是表面装饰:它是代码。如果你改变一个PowerPoint的主题,那仅仅是改变它的字体和颜色;但如果你改变一个Wordpress的主题,你还可以修改网站的基本结构,包括数据库查询和PHP执行方式。
它所提供的巨大的灵活性给我们带来了丰富多彩的博客世界。WordPress在他们的中为我们提供了这些主题,但是很多其他网站和个人改进者也提供了很多。WordPress努力的去做到一个新主题能够简单的地复制到一个博客中,然后点击缩略图来安装它。主题站
黑客永远不会在成功和热门的平台上处于落后局面。苹果的Mac被广泛认为比Windows的个人电脑安全,但那种安全可能只是因为比较少人去攻击它(Mac)。所以,随着WordPress的发展成长,它成为首要攻击的目标。
丰富的WordPress主题对黑客来说是一个绝好的机会。恶意代码会被在会发生任何糟糕情况的服务器上执行。由于主题安装,博客拥有者会把一段从来没有经过检测的代码安装到WordPress所在的服务器上,一点也没有意识到隐藏的恶意代码就在里边。
这是一个真实的例子。
主题设计师Derek Punsalan创作了大量WordPress主题,并把其中一部分发布在互联网上。一些其他的站点拷贝了他的主题,WP-Sphere便是其中一个。
当你从WP-Sphere下载Punsalan的主题时,它里边包括了一些本不属于该主题的代码。他是一大串潜在的不会使大多数人产生疑问的代码:
这串代码的第一部分提供了一个线索:这是一个用64位编码的PHP函数。但是把这段代码输入到解码器中,它们看起来来势凶猛:
这串代码在WordPress所在的服务器和一些像wpssr.com,wpsnc.com,wpsnc1.com的网站建立连接,并自动操作下载这些站点上的JAVAScript模块。这些网站被注册给加拿大不列颠哥伦比亚省温哥华市的一个匿名注册者。
“这类主题收集库充分利用那些轻信的WordPress用户假定他们正在下载的主题和下一个是没什么两样的。”Punsalan说:“虽然很难防止个人遵守不再次发布的要求,但是很明显,WordPress社区的用户们应该自觉抵制再配布的主题。”
Paul Carroll几个星期前写了一篇关于这段代码的日志。他断定,用最善意的眼光去看,这是WP-Sphere与使用主题的用户保持联系的一种方式,但是每次有访问者访问这个页面时它都提供了一个“优秀的”用来注入恶意代码的后门。理论上,WP-Sphere可以通过这个后门在经过他们拷贝并修改过的主题所在的页面插入广告。Punsalan在他的博客上也写了一篇关于这种情况的日志。
最令人不安的是,直至昨天,WP-Sphere依旧在Google上“WordPress Themes”付费搜索的第一名。现在,有专门的网站和插件用来检测网络日志安全和站点漏洞,但是WordPress太流行了以至于在不久的将来它将不得不来直接处理这些。它的灵活性使得它广受欢迎,也让那些别有用心的人把恶意代码插入博客中。现在,博客社区不得不采用某种形式不会抑制创新的认证流程。
Matthew Mullenweg,WordPress的创始人提出创建一个用认证、 GPL-许可主题构建的主题市场的创想。“这(在主题中插入恶意代码)和恶意软件没什么两样,甚至在很多方面县的严重得多,”Matthew说,“我们官方目录中所有的主题都经过这种审查,很显然有些主题很危险。”
它成功的一个原因是它定制的灵活性。Wordpress是用PHP写成的,它的运行围绕着一个被称之为“主循环”[the Loop]的核心。每当一个博客页面被访问一次,这个页面的每一个部分就被执行一遍——页首[the Header]、页面和日志、侧边栏[the Sidebar]和页尾[the Footer]。博客运营商[者]们可以自由地改变这些部分:他们可以定义字体和颜色的样式,他们可以改变PHP代码以展示作者的详细资料以及受欢迎的标签等。他们还可以安装插件以进一步扩展他们博客站点的功能。
设计者们在主题中捆绑页面式样和PHP代码,有时候也捆绑一些插件。一个Wordpress主题不仅仅是表面装饰:它是代码。如果你改变一个PowerPoint的主题,那仅仅是改变它的字体和颜色;但如果你改变一个Wordpress的主题,你还可以修改网站的基本结构,包括数据库查询和PHP执行方式。
它所提供的巨大的灵活性给我们带来了丰富多彩的博客世界。WordPress在他们的中为我们提供了这些主题,但是很多其他网站和个人改进者也提供了很多。WordPress努力的去做到一个新主题能够简单的地复制到一个博客中,然后点击缩略图来安装它。主题站
黑客永远不会在成功和热门的平台上处于落后局面。苹果的Mac被广泛认为比Windows的个人电脑安全,但那种安全可能只是因为比较少人去攻击它(Mac)。所以,随着WordPress的发展成长,它成为首要攻击的目标。
丰富的WordPress主题对黑客来说是一个绝好的机会。恶意代码会被在会发生任何糟糕情况的服务器上执行。由于主题安装,博客拥有者会把一段从来没有经过检测的代码安装到WordPress所在的服务器上,一点也没有意识到隐藏的恶意代码就在里边。
这是一个真实的例子。
主题设计师Derek Punsalan创作了大量WordPress主题,并把其中一部分发布在互联网上。一些其他的站点拷贝了他的主题,WP-Sphere便是其中一个。
当你从WP-Sphere下载Punsalan的主题时,它里边包括了一些本不属于该主题的代码。他是一大串潜在的不会使大多数人产生疑问的代码:
这串代码的第一部分提供了一个线索:这是一个用64位编码的PHP函数。但是把这段代码输入到解码器中,它们看起来来势凶猛:
这串代码在WordPress所在的服务器和一些像wpssr.com,wpsnc.com,wpsnc1.com的网站建立连接,并自动操作下载这些站点上的JAVAScript模块。这些网站被注册给加拿大不列颠哥伦比亚省温哥华市的一个匿名注册者。
“这类主题收集库充分利用那些轻信的WordPress用户假定他们正在下载的主题和下一个是没什么两样的。”Punsalan说:“虽然很难防止个人遵守不再次发布的要求,但是很明显,WordPress社区的用户们应该自觉抵制再配布的主题。”
Paul Carroll几个星期前写了一篇关于这段代码的日志。他断定,用最善意的眼光去看,这是WP-Sphere与使用主题的用户保持联系的一种方式,但是每次有访问者访问这个页面时它都提供了一个“优秀的”用来注入恶意代码的后门。理论上,WP-Sphere可以通过这个后门在经过他们拷贝并修改过的主题所在的页面插入广告。Punsalan在他的博客上也写了一篇关于这种情况的日志。
最令人不安的是,直至昨天,WP-Sphere依旧在Google上“WordPress Themes”付费搜索的第一名。现在,有专门的网站和插件用来检测网络日志安全和站点漏洞,但是WordPress太流行了以至于在不久的将来它将不得不来直接处理这些。它的灵活性使得它广受欢迎,也让那些别有用心的人把恶意代码插入博客中。现在,博客社区不得不采用某种形式不会抑制创新的认证流程。
Matthew Mullenweg,WordPress的创始人提出创建一个用认证、 GPL-许可主题构建的主题市场的创想。“这(在主题中插入恶意代码)和恶意软件没什么两样,甚至在很多方面县的严重得多,”Matthew说,“我们官方目录中所有的主题都经过这种审查,很显然有些主题很危险。”