Lucifr » 安全

TAC:WordPress主题的安全卫士？[WordPress插件]

Lucifr — Wed, 20 Aug 2008 10:35:12 +0000

Theme Authenticity Checker（TAC）是一个用来检查所使用的WordPress主题文件是否含有恶意代码的插件。

WordPress应该是目前最为流行的blog平台了，所拥有的主题（Theme）数量也最多，5thiryOne的Derek发现在免费主题中埋藏（恶意）编码、广告的情况十分普遍。

TAC可对站点上安装的所有主题进行扫描，找出并提示含有这些这受欢迎的代码。
插件主页｜下载页面

原文链接 | 留个脚印 | 联系作者 | Follow Me | Del.icio.us
Copyright © 2005~2008 Lucifr
本Feed内容版权归属于Lucifr，转载请遵循知识共享署名-非商业性使用-相同方式共享 2.5 中国大陆许可协议

Firefox剪贴板遭黑客攻击 [网络安全]

Lucifr — Tue, 19 Aug 2008 13:46:07 +0000

树大招风，随着Firefox的进一步流行，黑客们的攻击目标也会有所转移了。之前人们总在标榜一些开源软件较之Microsoft在安全性上多么有优势，但这并不是说这些软件的代码真的无懈可击，而是它们不够流行，以至没有黑客会为此去费心思。

根据BBC的报道，目前一个针对Firefox剪贴板的攻击代码已经被监测到，它通过侵犯Adobe Flash文件，从而不停地向剪贴板中加入一个指向钓鱼网站的链接。要去除剪贴板中的链接似乎要颇费周折，报道称需要杀掉firefox的进程甚至重启计算机。好在目前这个攻击还只是在小范围流传，如果大家使用firefox时被莫名地引到一个杀毒软件的网页并告知你的电脑中有流氓软件（malicious software）那么就要小心了。

[Update] Adobe的PSIRT（安全事件回应小组）已经对此问题发布回应，表示Adobe已经在对此问题进行调查，并将及时进行安全更新。

关掉文件夹访问 [WordPress安全]

Lucifr — Wed, 30 Jul 2008 12:19:35 +0000

那天介绍了一个去掉WordPress的版本信息的安全技巧，结果被很多人视为鸡肋。但lucifr不气馁，不抛弃，不放弃……（省去若干），今天再介绍一个WordPress的安全设置，或许对小盆友们有帮助。

默认的WordPress是允许人们通过浏览器访问服务器上一些文件夹的内容的，你可以在地址栏里输入你的wordpress主页地址，后面再加上“/wp-content/plugins/”，比如：

http://lucifr.com/wp-content/plugins

如果你看到的是404页面或是空白页面，那么说明你的文件夹访问已经被禁止，相对来说安全了。否则如果看到了如下面这位仁兄一样的文件夹列表视图，更要命的是底部还有你所使用的服务器的版本信息，那说明你的文件夹访问还没有被关闭。

那位小盆友会问了：不关闭的话有什么坏处呢？

1. 被别人轻易发现你所使用的插件和主题，如果相应的插件和主题存在漏洞，hacker就可以有针对性地进行攻击。
2. 被别人轻易发现你存放在服务器上的一些不想公开的东西，比如很黄很暴力让人看了很想俯卧撑的东西……
3. 被别人轻易发现你所使用的服务器版本。

注意lucifr用了“轻易”这个词，因为对于hacker们来说总是会有很多方法去看到他们想要看的东西，但经过修改总能让他们不那么“轻易”地看到。

老的方法是在你不想被看到的文件夹中（比如/wp-content/plugins/和/wp-content/themes/等）建立一个空白的index.html。这个方法确实简单，但却存在问题，那就是只对有这个空白index.html的文件夹有效，没添加这个html的文件夹包括子文件夹仍能被访问。那位说那俺就都加上，lucifr只能说您是一位勤劳的人，因为很多plugin和theme的子文件夹都是一大堆。这里介绍一个新的修改.htaccess文件的方法。

1. 首先要保证你的服务器是支持.htaccess的，比如lucifr用的hostmonster。
2. 让你使用的ftp工具显示隐藏文件。
3. 来到你的wordpress的根目录。
4. 找到.htaccess文件并用Notepad++一类的文本编辑器打开它，在最后添加如下语句后保存（上传）：

# Prevents directory listing
Options -Indexes

好了，现在再试试指向“/wp-content/plugins/”或是“/wp-content/themes/”，你看到的应该是404页面了（lucifr的plugins页面似乎被SEO工具自动导向到一篇介绍插件的文章了）。

这一招是不是也很鸡肋&火星呢？呵呵，欢迎盆友们前来拍砖！

去掉WordPress的版本信息 [WordPress技巧]

Lucifr — Sat, 26 Jul 2008 10:38:57 +0000

在WordPress2.5版以前只有当主题的header.php文件中添加了如下语句时，在源文件中才能看到版本信息，而去掉它的方法就是去掉主题文件中的这一语句即可：

<meta name="generator" content="WordPress " />

而在2.5版以后，由于显示版本信息的被写进了wp_head，所以即使主题的header里没有添加显示版本信息的meta link，WordPress也会在head里自动添加，而如果主题里也有，那head里就会显示出两个。

针对wordpress2.5+，去掉版本信息的方法有三，前两种需要改动你所使用的主题的funtions.php文件，建议有一定DIY能力的小盆友们尝试:

1.第一种方法是在主题的funtions.php中添加如下代码，建议添加到原有的标签里，放在最前面:

function i_want_no_generators()
{
return '';
}
add_filter('the_generator','i_want_no_generators');

这样在里就根本不会显示版本信息的meta link。

2.第二种方法是在主题的funtions.php中添加如下代码，添加位置同1:

add_action("init","bs_wp_noversion",1);
function bs_wp_noversion() {
global $wp_version;
$wp_version = "";
}

这样处理后还是会在里显示版本信息的metalink，但版本号不会被显示；不过lucifr实践后发现使用这种方法后后台又会开始提示更新到最新的版本的小黄条，所以相较之下还是第一种改法比较好。

3.第三种是给懒人的，方法就是用这个现成的插件，这个lucifr没有测试，如果有人用过了烦请告诉lucifr效果如何。

去掉源文件中的版本信息的好处就是不让别人轻易知道你所使用的wordpress版本，从而免受到针对性的攻击，对于那些坚持使用老版本的人来说可能会有用。不过话说回来，真想要攻击你的hacker，这么点小伎俩估计也难不倒人家。所以还是建议更新到最新版本吧。

Firefox 2.0.16 及3.0.1 [Firefox安全更新]

Lucifr — Thu, 17 Jul 2008 13:38:12 +0000

记得之前提过的firefox的漏洞问题么？现在终于出了安全更新了。建议大家立刻更新。

方法：菜单栏中选择“帮助”->“检查更新”，完成后重启Firefox即可。当然也可以到下面地址中去下载最新的版本（注意选择适合自己系统和语言的版本）:

下载Firefox 2.0.x | 下载Firefox 3.0.1

PS. Tab mix plus插件暂时不兼容firefox3.0.1，大家可以用解压缩工具（如winrar等）打开插件的安装文件，自行修改其中的install.rdf文件，将“em:maxVersion＝”后面的版本号改为3.0.1，然后重新打包，再安装就行了。懒得自己动手的，就下载lucifr已经修改好的版本吧。

美玉存瑕 [Firefox 3]

Lucifr — Thu, 19 Jun 2008 15:51:40 +0000

世间万物皆非完美，况Firefox 3乎！Tipping Point已经发现了一个共存于Firefox 3以及之前的Firefox 2的安全漏洞，并将它提交给了mozilla安全团队。虽然Tipping Point并不会在Mozilla发布安全补丁之前公布任何相关的信息，但鉴于这个漏洞的特点，建议大家远离不安全的站点，不要打开莫名邮件中的链接，开启Firefox的自动更新选项，发现新版本立即更新。[via]

Lucifr » 安全

TAC:WordPress主题的安全卫士？[WordPress插件]

相关文章

Firefox剪贴板遭黑客攻击 [网络安全]

相关文章

关掉文件夹访问 [WordPress安全]

相关文章

去掉WordPress的版本信息 [WordPress技巧]

相关文章

Firefox 2.0.16 及3.0.1 [Firefox安全更新]

相关文章

美玉存瑕 [Firefox 3]

相关文章