近期,Z-BlogPHP官方收到了许多用户的反馈,称他们的网站目录中出现了木马文件。通过日志等途径的排查,发现这很大程度上是由于密码过于简单,被恶意轮出,导致了网站后台被打开并存入了木马文件。虽然我们也收到了类似的问题反馈,但我们并没有考虑到密码过于简单会造成这样的后果。我们对此表示歉意,并承担了Z-BlogPHP程序的责任。目前,官方已经更新了Z-BlogPHP的程序版本,
并采取了以下措施进行修复:
1.完善 Z-BlogPHP 登录机制(增加 CSRF Token 的校验、登录验证码),增加破解密码进入后台的难度,提高登录安全性;
2.完善开发者应用上传机制,提高开发者上传应用的安全性。
3.另外,我们建议用户进行如下操作,保护自己网站的安全性:
4.尽快更新到 Z-BlogPHP 最新版本 1.7.3.3260 及以上,开启网站登录验证码;
5.安装令牌登录器插件,开启管理员登陆两步验证;
6.提高密码复杂度,切勿使用较常见的易被猜出的密码;
7.查杀网站目录,检查有无不明文件,及时删除潜在的病毒;
8.开启应用中心客户端的「安全模式」,增强安全性;
9.拒绝安装未知来源的 Z-BlogPHP 应用,建议从官方应用中心获取应用。
当然,我们也要警惕使用盗版和破解的主题及插件可能带来的潜在威胁。免费或者仅收取几十元的主题插件可能存在安全隐患,因此我们要谨慎选择,不要因小失大,毕竟数据是无价的!
Z-BlogPHP官方一直致力于提高网站的安全性,并不断努力追求这个目标。未来,他们将继续改进程序的安全性。让我们共同期待,毕竟在Z-Blog官方的带领下,Z-BlogPHP的“好日子”还在后头呢!
