科大博客修复无法安装插件、主题等问题

2016年9月,我们遇到了两次利用插件漏洞的恶意代码上传事件,一次是被挂黑页、被网监查了水表,一次是滥发垃圾邮件用完了 LUG 的邮件配额。第二次恶意代码上传事件后,我们修改 PHP 解释器代码,禁止了 .php 扩展名文件的写入和非 .php 扩展名文件的执行。这个限制的后果是无法安装或升级插件、主题。非常抱歉此问题给您带来的麻烦。

现在修改了 PHP 解释器中的文件访问限制,使得通过 WordPress 后台正常的上传、更新、编辑插件和主题不会受到影响。禁止插件和主题自己修改代码,也就是利用插件漏洞的恶意代码上传将不能得逞(当然部分生成 PHP 模板的插件可能无法使用)。

具体文件访问限制策略如下:

  1. 非 .php 扩展名的文件禁止执行(与之前相同)
  2. WordPress 用户上传目录内的文件禁止执行(上传目录相对路径可在 php.ini 里配置,用户不能修改)
  3. .php 扩展名的文件,只有受信目录内的代码才能写入(受信目录列表可在 php.ini 里配置,用户不能修改)。具体方法是判断 php 调用栈上的每个文件是否都在受信目录内,只要有一个不在就报错。目前受信目录是用户间共享、用户不可修改的 WordPress 核心代码。

此外,之前 blog 注册激活后需要升级数据库。这是因为之前安装 blog 的过程是直接导入一个数据库模板,WordPress 4.6.1 检测到数据库表结构的变化,就提示需要升级。现在修改了安装过程,直接调用 WordPress 的数据库安装函数,装好的 blog 就是最新版本的数据库结构。与 WordPress 原版安装程序略有不同,您将不会收到 WordPress 自动发送的安装成功邮件,因为其中包含明文密码,我们把这个发邮件的过程去掉了。

如果您注册新博客后发现问题,或发现插件、主题无法安装、升级,欢迎报 bug。感谢您对科大博客的支持。

《科大博客修复无法安装插件、主题等问题》上有3条评论

  1. 我有一个问题,如何禁用google字体呢?在国内的话google字体太影响访问速度了。我上网查的方法都不管用,包括disable-google-fonts插件也不行。非常感谢!

  2. 科大博客真心不错!

    1. 我有三个博客在科大wp上, 看到说资源有点紧张之类的, 我建议删除另外两个不常用博客. (其它两个主要是用了做测试的, 目前好像用户没办法删除)
    2. 我真的完全忘了科大博客有个注册页面, 现在我登陆忘了用户名密码, 不知道有没有办法找回? (我同学新开通的就是wp登陆用户名和密码, 但是我自己可能是在wp中修改了密码? 能登陆wp不能在科大博客登陆http://blog.ustc.edu.cn/)
    3. 好像FTP不能用了? (我修改了登陆ip后也提示用户名/密码不正确, 这个可能是上面提及的科大博客的登陆用户名?)
    4. 我使用的是P2主题, 在本地测试一起正常, 但是在科大博客上老是判断我离线了, 例如点击https://van.blog.ustc.edu.cn/ 这个的Whatcha up to?下面的框框, 就会弹出警告. 看了相关代码.

    祝科大博客也做越好.

    哦, 对了, 以前好像说有个科大博客聚合墙之类的? 就是可以看到大家写的比较优质的博客内容, 不知咋样了?

评论已关闭。