2016年9月,我们遇到了两次利用插件漏洞的恶意代码上传事件,
现在修改了 PHP 解释器中的文件访问限制,使得通过 WordPress 后台正常的上传、更新、编辑插件和主题不会受到影响。禁止插件和主题自己修改代码,也就是利用插件漏洞的恶意代码上传将不能得逞(当然部分生成 PHP 模板的插件可能无法使用)。
具体文件访问限制策略如下:
- 非 .php 扩展名的文件禁止执行(与之前相同)
- WordPress 用户上传目录内的文件禁止执行(上传目录相对路径可在 php.ini 里配置,用户不能修改)
- .php 扩展名的文件,只有受信目录内的代码才能写入(受信目录列表可在 php.ini 里配置,用户不能修改)。具体方法是判断 php 调用栈上的每个文件是否都在受信目录内,只要有一个不在就报错。
目前受信目录是用户间共享、用户不可修改的 WordPress 核心代码。
此外,之前 blog 注册激活后需要升级数据库。这是因为之前安装 blog 的过程是直接导入一个数据库模板,WordPress 4.6.1 检测到数据库表结构的变化,就提示需要升级。现在修改了安装过程,直接调用 WordPress 的数据库安装函数,装好的 blog 就是最新版本的数据库结构。与 WordPress 原版安装程序略有不同,您将不会收到 WordPress 自动发送的安装成功邮件,因为其中包含明文密码,我们把这个发邮件的过程去掉了。
如果您注册新博客后发现问题,或发现插件、主题无法安装、升级,欢迎报 bug。感谢您对科大博客的支持。
卧槽,居然被查水表了,可怕╮(๑•́ ₃•̀๑)╭
我有一个问题,如何禁用google字体呢?在国内的话google字体太影响访问速度了。我上网查的方法都不管用,包括disable-google-fonts插件也不行。非常感谢!
科大博客真心不错!
1. 我有三个博客在科大wp上, 看到说资源有点紧张之类的, 我建议删除另外两个不常用博客. (其它两个主要是用了做测试的, 目前好像用户没办法删除)
2. 我真的完全忘了科大博客有个注册页面, 现在我登陆忘了用户名密码, 不知道有没有办法找回? (我同学新开通的就是wp登陆用户名和密码, 但是我自己可能是在wp中修改了密码? 能登陆wp不能在科大博客登陆http://blog.ustc.edu.cn/)
3. 好像FTP不能用了? (我修改了登陆ip后也提示用户名/密码不正确, 这个可能是上面提及的科大博客的登陆用户名?)
4. 我使用的是P2主题, 在本地测试一起正常, 但是在科大博客上老是判断我离线了, 例如点击https://van.blog.ustc.edu.cn/ 这个的Whatcha up to?下面的框框, 就会弹出警告. 看了相关代码.
祝科大博客也做越好.
哦, 对了, 以前好像说有个科大博客聚合墙之类的? 就是可以看到大家写的比较优质的博客内容, 不知咋样了?