近期,ZBP官方收到了不少用户的反馈,称网站目录中出现木马文件,经过日志等途径排查,发现大都系密码过于简略而被恶意轮出,导致网站后台被打开从而存入木马文件。我们也收到类似的问题,只是没有考虑是密码过于简单造成的,当然zbp的锅还是得背着,目前官方已经更新了ZBP程序版本同时修复了以下措施:
完善 Z-BlogPHP 登录机制(增加 CSRF Token 的校验、登录验证码),增加破解密码进入后台的难度,提高登录安全性;
完善开发者应用上传机制,提高开发者上传应用的安全性。
另外,我们建议用户进行如下操作,保护自己网站的安全性:
尽快更新到 Z-BlogPHP 最新版本,开启网站登录验证码;
安装令牌登录器插件,开启管理员登陆两步验证;
提高密码复杂度,切勿使用较常见的易被猜出的密码;
查杀网站目录,检查有无不明文件,及时删除潜在的病毒;
开启应用中心客户端的「安全模式」,增强安全性;
拒绝安装未知来源的 Z-BlogPHP 应用,建议从官方应用中心获取应用。
当然也不排除使用盗版和破解主题及插件带来的潜在威胁,毕竟无利不起早,不然百十元的主题插件为什么免费送或者仅仅收取十几元呢?别因小失大,毕竟数据是无价的!
Z-BlogPHP官方一直以来都在提高网站的安全性,这也是他们努力追求的目标,将来还会在程序安全性上做进一步的改善,我们大家一起拭目以待,毕竟在猪的带领下ZBP的“好日子还在后头呢”。
文章版权声明:除非注明,否则均为VPS857原创文章,转载或复制请以超链接形式并注明出处。
还没有评论,来说两句吧...