wpa2补丁
服务器系统是win好还Linux好?
服务器肯定是Linux了。Linux系统本身消耗资源少,在跑的几个进程清清楚楚,要换了windows根本搞不清楚那么多进程到底是干吗用的。远程管理,Linux本身是字符型操作系统,系统配置都是文本文件,SSH上去改个配置,比windows捣鼓注册表方便太多。安全性方面,Linux只要把住root关,就算被黑进去也折腾不出啥名堂。Linux由全世界的程序员在维护,一有个漏洞马上就能下载到补丁。
没有计算机相关背景,如何制作网站?
目前企业级的服务器都是使用linux的,可与对比一下优缺点,还是显而易见的
1、稳定性 linux 基于开源,稳定高效,故障率低,运行速度快,通常不需要重启,相比下,windows server因为使用图形界面,占资源,配置变化、牵扯底层应用的安装都需要重启。
2、性价比 linux 开源免费,分枝版本的更新及时,linux 维护成本低。而windows 授权及使用环境都比较昂贵。
3、并发处理 winserver在高并发的处理上先天不足,执行效率对于高需求生产环境是个灾难。
4、因为开源linux系统有更多的开发定制空间。windows server灵活性上就差远了。
消息称黑客假借WordPress官方名义,向站长发送恶意补丁链接
IT之家 12 月 6 日消息,安全公司 Wordfence 日前发现有黑客冒充 WordPress 官方名义,向网站站长寄送钓鱼邮件,声称检测到网站存在漏洞,有可能让黑客远程执行代码,要求站长使用邮件附带的 CVE-2023-45124 补丁链接“修复网站漏洞”。
▲ 图源 安全公司 Wordfence不过黑客附带的链接,实际上指向黑客自己架设的钓鱼网站,若受害者未验证相关信息的真实性,直接点击网页链接,就会进入到一个山寨 WordPress 网站“en-gb-wordpress [.] org”。
▲ 图源 安全公司 Wordfence在受害者安装相关“钓鱼补丁”后,其中包含的恶意软件就会在网站后台中新增隐藏恶意管理员账号 wpsecuritypatch,并将网站 URL 及密码打包回传至黑客服务器,之后在网站植入后门程序 wpgate [.] zip,令黑客能够持续控制受害者网站。
▲ 图源 安全公司 Wordfence值得注意的是,安全研究人员发现,黑客为了取信受害者,在钓鱼网站的留言区添加了多条虚假评论,并将安全公司 Automattic 的部分程序员列为开发人员。
▲ 图源 安全公司 WordfenceWordPress发布新版补丁,但旧版BUG还没有完全修复
WordPress发布了新的信息,描述了WordPress 5.5为何对数百万个网站产生负面影响,数量惊人。WordPress正在发布维护版本5.5.1。它旨在用作补丁程序,为插件和主题开发人员腾出时间来更新其软件。
关于错误原因的公告与一个电子表格有关,该电子表格中列出了数百个受影响的插件和主题。
电子表格还记录了每个插件和主题的特定问题,这将帮助软件开发人员修复其插件和主题。
WordPress 5.5.1维护版本2020年9月1日WordPress 5.5.1维护版本旨在阻止站点中断。但是错误仍然需要修复。
WordPress描述了这样的问题:
“在WordPress 5.5中,以下列出的全局JavaScript对象已删除,但不被弃用。WordPress 5.5.1为这些全局变量添加了回填,因此它们不再导致JavaScript错误。”
插件和主题开发人员必须在2021年3月之前对代码进行修补。无法修补代码将导致另一轮站点故障。
根据WordPress:
“计划是在两个主要版本中删除此后备代码,因此将在WordPress 5.7中删除。这使插件和主题开发人员有足够的时间删除有冲突的代码并切换到使用wp.i18n”
数百万受影响的网站电子表格显示了以前未知数量的损坏站点。
最初有偶然的猜测,认为影响相对较小,并且仅限于数千个网站。但是事实并非如此。
WordPress 5.5对数百万个网站产生了负面影响。
因此,今天(2020年9月1日)紧急发布了补丁。
此维护更新旨在解决5.5版发布后发现的各种错误。对于那些由于5.5破坏了站点而将其站点回滚到WordPress早期版本的用户,或者应下载此版本。新版发现的问题已修复。
WordPress禁用10个危险插件
Woo电子商务网站提供的10个WordPress插件存在漏洞,这些插件均由同一家公司Multidots为WOO网站提供。因开发者尚未发布补丁程序,而Woo网站的插件被许多高流量网站使用,所以WordPress禁用了危险插件。以下是危险插件的信息:
WooCommerce Category Banner Management (Active installations: 3,000+) – Unauthenticated Settings ChangeAdd Social Share Messenger Buttons Whatsapp and Viber (Active installations: 500+) – Cross-site Request Forgery (CSRF)Advance Search for WooCommerce (Active installations: 200+) – Stored Cross-site scripting (XSS)Eu Cookie Notice (Active installations: 600+) – Cross-site request forgery (CSRF)Mass Pages/Posts Creator (Active installations: 1,000+) – Authenticated Stored Cross-Site scripting (XSS)Page Visit Counter (Active installations: 10,000+) – SQL InjectionWooCommerce Checkout For Digital Goods (Active installations: 2,000) – Cross-site request forgery (CSRF)WooCommerce Enhanced Ecommerce Analytics Integration with Conversion Tracking (Active installations: 1,000+) – Cross-site request forgery (CSRF) and Stored Cross-site scripting (XSS)WooCommerce Product Attachment (Active installations: 800+) – Authenticated stored Cross-site scripting (XSS)Woo Quick Reports (Active installations: 300+) – Stored Cross-Site Scripting (XSS)据ThreatPress报道,安全研究员在10个插件中发现的漏洞类型五花八门。受影响的插件可通过WordPress.org获得,它们允许Woo商城用户管理其在线商店。据统计,易受攻击的插件有将近20,000次主动安装,其中包括10,000次页面访问计数器安装,3,000次WooCommerce类别横幅管理安装以及2,000次数字商品WooCommerce Checkout安装。
经过安全专家研究后发现,Multidots制作的插件受存储的跨站脚本(XSS)、跨站点请求伪造(CSRF)和SQL注入漏洞的影响,这些漏洞可以被用于全方位控制已安装插件的电子商务网站。攻击者可能会破坏网站,执行远程shell,植入键盘记录器,并上传加密货币挖掘程序或其他类型的恶意软件。
考虑到受影响的网站是收集个人和财务信息的在线商店,攻击者或许能够获得富含价值的信息。这些漏洞允许未经身份验证的攻击者注入恶意JavaScript,从而为劫持客户的信用卡数据并接收客户和管理员登录提供机会。虽然大多数危险情境的实现需要安装插件者访问特质的URL或者页面,但仍有一些漏洞带来的缺陷能在没有任何交互的情况下被利用。
Multidots 5月8日知晓后对存在的问题进行了确认,而后却再无动作。所幸WordPress了解后决定禁用大部分受影响的插件。在ThreatPress公开发布调查结果之前,他们曾与Multidots联系征求意见,但该公司没有回应。
CVE标识符已分配给其中四个漏洞,仍有6个漏洞还没有得到标识符。目前为止,分配的标识符有CVE-2018-11579,CVE-2018-11580,CVE-2018-11633和CVE-2018-11632。
当前每个漏洞的技术细节和概念验证(PoC)代码已被披露。专家表示:“很高兴WordPress的安全反应速度这么快,但我们仍然有一个大问题——难以告知所有用户这些插件的威胁。奇怪的是WordPress能显示可用更新的信息,却不能通过同样的方式提供关于封闭插件的信息以提供保护。我们希望看到这一领域的一些变化。希望在这种情况下,我们可以通知受影响网站的所有者,并保护近2万个网站。”
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。