安全更新:WordPress 2.8.2发布

这次没有任何的BETA版本,也没有RC版本。出现这种情况的原因很简单。WordPress又出现安全问题了。

WordPress 2.8.2修复了一个XSS的安全漏洞。

安全更新主要涉及到评论者的链接问题:

显示在控制面板的来自评论者的链接并没有被进行安全认证,这点可以使博客管理员在点击这种链接之后直接转向任何站点。

WordPress官方建议更新,WopusIDC用户可以直接在博客后台升级。

如果你使用的不是WordPress 2.8版本系列,准确的说不是WordPress 2.8.1的话,可以无视这个更新。

题外话:

这个更新我实在是没看懂是怎么回事,官方也没有更多的介绍,简单几笔就带过去了。而且最要命的是,没说明这个漏洞是从哪个版本开始的,但从逻辑上来说,应该是WordPress 2.8.1导致的,但这种安全更新,官方应该也必须给出详细的版本说明。

这个链接的认证不认证有什么区别吗?我刚才升级了WordPress 2.8.2,真的没发现什么,和以前点击的链接效果一样,还是直接到站外,完全没任何的防护措施。懂这个漏洞的朋友可以留言,分享一下这个漏洞。

虽然没看明白这个安全更新是怎么回事,但却明白了另外一点。现在博客上垃圾留言越来越多,但这些垃圾邮件却很“聪明”的出现,而且这些人留言都很认真,除了网址之外,你根本看不出来他们是来SEO的,当然有些不太专业的,头像也会是空白。这些链接各位要注意,点击链接,除了博客地址和头像之外,大家记得看看链接的样子,基本上能大致感觉出来哪些是博客的,哪些是来做SEO的。总之,安全第一。

对于垃圾留言,虽然他们留言没问题,但由于我无法接受他们的网址,所以我通常都会把他们干掉,但是我不会删除,会防盗垃圾评论里,这样他们的权重就小了很多,而且被封锁的几率加大。

其他什么了,更新之前,还是记得要备份一下数据库。安全第一。

Wopus关于WordPress 2.8.2的中文包做好了,需要的同学可以看这里:http://code.google.com/p/wopus/downloads/list,还不懂使用中文包的同学,可以看看这里:
https://www.wopus.org/wordpress-for/attention/1071.html