什麼!WordPress也有黑心版?
沒錯!WordPress也有假的,這是最近幾天在國外的許多WordPress相關網站討論的一個話題:「一個偽造的WordPress官網」,網址是wordpresz.org跟wordpress.org差一個字,裡面有所謂的「WordPress 2.6.4版」供人下載,真的就有人下載來安裝了,而真正的最新版本只到2.6.3,這一個假版本裡面的程式被動了手腳,就是一般常稱的「掛馬」:裡面有木馬程式可以竊取你的資料。
網路釣魚
不過這還是小兒科,我們還遇過更嚴重的版本,就是我之前講過的主機商無預警當機事件:「遇到了,就知道備份的重要性」中的元兇:一隻吃掉主機資料庫所有資源的掛馬版本,讓整台主機掛掉了,所以大家一定要小心喔!
這個在網路上以假網站、假檔案或者是有毒的圖片供人下載的方法叫作「釣魚Phishing」,由字面上你可以體會到對方提供一個看似誘人的東西來引誘你「上鉤」,其目的就是要竊取你的帳號密碼等個人資料,最近有越來越多的不法之徒用這種方法得逞,大家對網路安全一定要有正確的觀念才可以倖免。
如何避免被釣
最常見的「釣餌」除了上述的假網站、假檔案之外,就是有問題的電子郵件、網站及MSN傳送的連結,所以就算是你熟識的朋友所傳來的郵件或是連結也要小心處理,因為可能你的朋友中馬而帳號被盜用都不知,這是第一個要注意的。
再來不管要下載什麼程式,最安全的地方就是那個程式的「官網」,而且要注意你所進入的官網及下載的網址是不是正確的,就像這一次的事件網址只差一個字一般人稍不注意就會中獎。
我在幫人處理電腦問題時遇到過的有:Foxy,Flashget,nEOiMAGING等大家常用的程式都有被動過手腳的記錄,而這些使用者一般的習慣就是別人告訴你去哪裡下載程式,或是網路上搜尋找到的網站就下載了,這樣子下到有問題程式的機會是很大的,記得:「官網」才是提供原汁原味的程式,其他的有可能被「加料」。
有時候官網也有問題
但是更扯的是有一些程式連官網的版本就有問題,而這些程式有大部份都是對岸所出的,所以能不用或是無法確定的話最好敬而遠之!最有名的有問題程式到現在還是有一堆人再用的就是:「Foxy」!這隻狐狸我形容是出來騙人的,為什麼會這樣說請有安裝Foxy的人注意一下,當你的程式開啟的時候,右下角的系統工具列圖示顯示的是不是「下載0KB,上傳0KB」?但是你看一下ADSL或是網路卡的燈是不是一直在閃?也就是說一直有資料在傳入或是傳出,但是程式卻告訴你沒有在下載或上傳,這樣子的意圖已經很明顯了,你還敢再用這樣的程式嗎?
還有一個知名的程式是Flashget網際快車,在許多的版本當中都有被防毒程式抓包的記錄,但是還是很多人在用,看來不怕死的人真的很多!
其實問題最多的程式就是「P2P」程式,就是大家用來分享和下載程式、歌曲或是影片的工具,這類程式的安全性常常是打一個大大的問號的,因為你在下載的同時也會有人從你這裡下載東西回去,有心人士是可以透過這個管道偷偷地從你的電腦下載你的個人檔案,所以如果你沒有一套完整的安全防護的軟硬體的話,用P2P只是別人眼中的肥羊罷了。
中鉤後的處理方式
如果你不小心下到了我所講的「2.6.4」版的話,請將「wp-admin」和「wp-includes」兩個目錄刪除,再用官網下載的正確檔案補上就好了。
WordPress官網網址:http://wordpress.org
最後附上一些國外有關於這次的事件的連結網址,大家可以參考看看:
- Lorelle on WordPress - Warning: Fake WordPress Malicious Site
- Craig Murphy - WordPresz 2.6.4 - fake?
- Viper007bond - There is No Such Thing as WordPress 2.6.4
- Peter Westwood - WordPresz
- The Register - Trojanised WordPress
- ZDNet - Fake WordPress site distributing backdoored release
- Weblog Tools Collection - Fake WordPress Site
0 留言:
張貼留言