如果你的WordPress 2.1.1如果是在三四天前下载并安装的,那你要小心了。你的系统可能包含一个大的安全漏洞,必需立即升级到 2.1.2。说起来好玩,此次升级不仅仅是一般的常规小升级,还因为是一名骇客修改了WordPress官方服务器上的 WordPress 2.1.1 的下载文件,注入了漏洞代码,导致 WordPress 出现高危漏洞。官方开发博客上提到SVN上的文件未被骇客修改,从SVN上导出的文件是安全的,2.0版本的 WordPress 也是安全的,此次事故仅仅影响到 2.1.1 的下载文件。只要是 theme.php 和 feed.php 这两个文件在执行包含 “ix=” 或 “iz=” 查询时有问题,将导致 PHP 远程执行漏洞。
如果你怀疑你的 WordPress 2.1.1 系统不安全,请立即升级到 2.1.2。升级方法和以前的一样,不过你最好把所有的 WordPress 2.1.1 文件删除,更换 2.1.2 的文件,确保你的安全。升级时先备份,这也是废话了。
另外,WordPress 上的SVN帐号和密码信息也因安全问题有所更新,你可以到这里重置你的用户和密码。
Hi Owind,
Will you give us the “list of files to-be-replaced” like what u have done on 2.1 to 2.1.1 ?
Hi,forrestRain.
The files have changed between WP 2.1.1 and 2.1.2 are:
wp-includes/query.php
wp-includes/version.php
wp-includes/js/tinymce/tiny_mce_config.php
wp-includes/functions.php
wp-includes/script-loader.php
xmlrpc.php
wp-admin/custom-header.php
wp-admin/edit.php
wp-admin/edit-pages.php
You had better take a look at:
http://wordpress.org/development/2007/03/upgrade-212/
Have fun.