是的,咱們的WordPress又有新的更新檔案釋出,這回的問題看起來有點小嚴重,若您是WordPress2.6.1的使用者,請盡快更新到WordPress2.6.2,避免被有心人士鑽網站網站漏洞喔!
這次的問題主要出在於…根據官方的說法,若你的WordPress有開放給別人註冊帳號,有可能有心人士可以利用註冊的這部分,來重新設定別人的密碼,因而造成網站整個被偷走?所以,若您網站有開啟註冊功能,但您還沒空升級的朋友,趕快關閉註冊功能吧!
▲把「任何人皆可註冊」勾勾去掉,並點擊[儲存變更]即可。
不過建議還是盡快升級,不然網站可能真的會被別人抱走阿?那升級要怎麼做呢?老話一句,先做完整備份、再進行升級動作,至於教學在此就不多描述,請各位不太清楚如何升級的使用者,看一下這篇文章:如何升級WordPress系統?。
比較特別的是這次升級,我上傳覆蓋後就好了,系統沒有要求我要進行資料庫的部分,也就是登入WordPress後台後,系統會叫您按一些按鈕啦!可能是我沒開啟註冊功能才沒有這問題吧?大家升級時要注意一下,別弄錯了。
而語系檔在我寫這篇文章時,尚未釋出,可能這次只是小小修補,沒有多其他東西,所以沒有釋出吧?不過語系檔就算不更新,還是可以使用的啦!如果你覺得語系檔一定要更新的化,麻煩到Kirin的語系檔發佈網站看看:請點這裡。
延伸閱讀
![[教學]如何申請台北捷運誤點證明?](https://i1.wp.com/sofree.cc/wp-content/uploads/2024/04/20240403164113_0.jpg?quality=90&zoom=2&ssl=1&resize=350%2C233 "[教學]如何申請台北捷運誤點證明?")
![[教學]GA4 和 Google AdSense 資料串接,輕鬆掌握網站流量和收益報告](https://i0.wp.com/sofree.cc/wp-content/uploads/2023/06/20230620130326_57.jpg?quality=90&zoom=2&ssl=1&resize=350%2C233 "[教學]GA4 和 Google AdSense 資料串接,輕鬆掌握網站流量和收益報告")
![[教學]如何用 Chrome 批次把 HEIC轉成 JPG 圖片 ?](https://i0.wp.com/sofree.cc/wp-content/uploads/2024/04/20240402230128_0.png?quality=90&zoom=2&ssl=1&resize=350%2C233 "[教學]如何用 Chrome 批次把 HEIC轉成 JPG 圖片 ?")
![[教學]如何用 ShowKeyPlus 查詢 Windows 10/11 產品金鑰序號?](https://i0.wp.com/sofree.cc/wp-content/uploads/2023/11/20231103232630_0.jpg?quality=90&zoom=2&ssl=1&resize=350%2C233 "[教學]如何用 ShowKeyPlus 查詢 Windows 10/11 產品金鑰序號?")
其實不用怕啦,自動更新會在wp-content下長一個wpau的資料夾
備份之前它會幫你把所有程式跟資料庫都備份進去,就算失敗也不用怕。^^
WPAU的操作方式文字版:
1、備份檔案,並提供一個連接下載。(會保留在wpau資料夾內,下次升級前會提醒你先清除)
2、備份資料庫,並提供一個連接下載。(會保留在wpau資料夾內,下次升級前會提醒你先清除)
3、下載最新的檔案由http://wordpress.org/latest.zip,然後解壓縮。
4、將網站設定為維護模式。
5、停止啟動全部的Plugin,並且記住哪些是啟動狀態的。
6、升級WordPress檔案。
7、給一個新連結,它將開一個新的視窗進行更新安裝。
8、重新啟動先前關閉的Plugin。
補考交卷~
網站還是都會被拿下的…
多謝提醒!
更新去 :P
香腸兄~ 網站還不至於整個被偷走,這是一個 WordPress 開發團隊防範於未然的更新。我把官網的原文自己翻譯了一下,給大家參考:
Stefan Esser 近日曾警告開發人員,SQL Column Truncation的危險性,及mt_rand() 亂數函數的缺點。
在Stefan Esser的幫忙之下,我們順利的處理了這個問題,並釋出了WordPress 2.6.2更新版本。
如果你的部落格有開放給使用者註冊,你必需要更新程式。
部落格開放讓註冊的功能一經啟用,在WordPress 2.6.1或是更早的版本中,
可讓使用者有機會把其他使用者的密碼,重設到另一組以亂數產生的密碼。
因為攻擊者並無從得知這組以亂數產生的密碼是什麼,所以這只是個令人討厭的問題,並不是安全漏洞。
然而,此類的攻擊法利用mt_rand() 亂數函數中,設定亂數種子的缺點,可以被用來預測可能產生的亂數密碼。
Stefan Esser 近日會發表這種攻擊法的完整細節。
雖然這種攻擊法很難達其目的,我們還是建議使用者把程式更新到2.6.2。
懶惰的阿福~按個鈕一分鐘內就更新好嚕咩~
除非你有改到很多系統檔。XD
這BUG對共筆部落格才有影響
看來還不需要更新
感謝告知 ^^
昨天搬家到虛擬主機~
今早看到WP有更新~上廁所時就更新到了2.6.2,
用WordPress Automatic Upgrade Plug(WPAU)更新的所以一分鐘左右就結束了。
原來是那麼大的漏洞啊,還是快點更新的好@@
我又來拉客了~教學文章不嫌多,除了上篇再補一篇。XD
http://blog.joytown.tw/2008/08/16/220
交卷~