WordPress官方Blog的文章:《WordPress 2.1.1 dangerous, Upgrade to 2.1.2》。这次急匆匆的发布是因为WordPress网站被攻击了。在三四天前,WordPress网站上WordPress 2.1.1的压缩包被黑客(cracker)修改,有两个文件被加入了一些代码使得WordPress可以执行远程PHP代码。WordPress开发组及时修正了WordPress 2.1.1的压缩包,然后直接发布了WordPress 2.1.2,并且敦促大家尽快升级到WordPress 2.1.2,而且升级的时候最好是上传覆盖所有文件。 这次被影响的只有WordPress网站的WordPress 2.1.1版本的压缩包,所以,比较早时间下载的WordPress 2.1.1不受影响、WordPress其他版本比如2.0.x系列不受影响、从WordPress svn更新的不受影响。不过,鉴于WordPress 2.1.2还是修正了一些bug,所以最好还是更新一下吧。 根据WordPress官方Blog文章的信息,应该是wp-includes/feed.php和wp-includes/theme.php这两个文件被修改了。如果你是网站的管理员,那么应该立刻设置禁止对这两个文件的直接访问。如果你可以拿到网站的访问记录文件的话,可以检查一下是否有直接访问这两个文件的记录,尤其是包含"ix="和"iz="这样的查询。我现在不知道具体改的是什么代码,我的WordPress 2.1.1是发布当天就下载的,在网上通过Google的Blogsearch也查不到具体被修改文件的信息,唉。 WordPress开发组现在做了一些安全措施,保证以后不会再发生此类事件。这次压缩包被修改了三四天才被发现,估计会影响到不少人。不过,在国内还是有很多人喜欢用点点游的中文版,而在国外则高手比较多,直接用svn升级WordPress,再用curl执行升级程序,升个级连浏览器都不用打开。而WordPress的死忠们则大多在WordPress 2.1.1刚发布的时候就更新了,也不会受到影响。总之,在RSS阅读器里订阅WordPress官方Blog的feed,在WordPress新版发布的时候立刻跟进更新,这是非常重要地。 P.S. 看起来国外喜欢用"cracker",只有中国才黑客来黑客去的叫。 WordPress 2.1.2的更新不多,有下面几项: 修正Ecto通过XMLRPC发布文章时不能Trackback的问题。[4906] 修正wp_delete_file过滤器不能使用的问题。[4909] 修正搜索空字符串时返回SQL错误信息的问题。#3722 [4912] 这个bug可以被黑客利用,如果搜索空字符串可以看到数据库出错信息,如果搜索一个逗号可以搜到所有已发布的文章。 在“后台->页面管理”页面,按照页面名称顺序进行排序。[4914] 在WordPress 2.0.x系列里,页面是按照menu order排序的,所以在前台的显示顺序和后台的显示顺序是一样的。 在wp-includes/js/tinymce/tiny_mce_config.php文件里添加cache_javascript_headers()函数。[4918] 给一些SQL查询里的列名前加上表名,以消除二义性。[4923] 打开TinyMCE里使用Firefox自带拼写检查功能的选项。[4931][4949] 就是说,如果你用的是Firefox 2.0系列的话,那么在TinyMCE里就可以使用Firefox 2自带的拼写检查功能了。 修正在单篇文章的评论管理页(http://abc.com/wp-admin/edit.php?p=1&c=1)里无法删除评论和标记垃圾评论的问题。[4936] AYS的提示信息实体化。[4952] 这个bug可以造成跨站脚本攻击。具体信息在#3879。 WordPress 2.1.2对照WordPress 2.1.1更新的文件: wp-admin/custom-header.php wp-admin/edit.php wp-admin/edit-pages.php wp-includes/js/tinymce/tiny_mce_config.php wp-includes/functions.php wp-includes/query.php wp-includes/script-loader.php wp-includes/version.php xmlrpc.php 要记得检查被篡改的wp-includes/feed.php和wp-includes/theme.php两个文件啊。 2007年4月23日,WordPress 2.2将发布。大限在即,不知道2.1.x系列还能更新多少个版本。