对于验证码狂躁症的朋友来说是非常不友好滴,看到zblog官网发布的:《小黑子蠢蠢欲动,你保护好自己了吗?》
近期,我们收到了不少用户的反馈,称网站目录中出现木马文件,经过日志等途径排查,发现大都系密码过于简略而被恶意轮出,导致网站后台被打开从而存入木马文件。我们发现了这一问题后,立即采取了相应的措施:
完善Z-BlogPHP登录机制(增加CSRF Token的校验、登录验证码),增加破解密码进入后台的难度,提高登录安全性;
完善开发者应用上传机制,提高开发者上传应用的安全性。
另外,我们建议用户进行如下操作,保护自己网站的安全性:
尽快更新到Z-BlogPHP最新版本1.7.3.3260及以上,开启网站登录验证码;
安装令牌登录器插件,开启管理员登陆两步验证;
提高密码复杂度,切勿使用较常见的易被猜出的密码;
查杀网站目录,检查有无不明文件,及时删除潜在的病毒;
开启应用中心客户端的「安全模式」,增强安全性;
拒绝安装未知来源的Z-BlogPHP应用,建议从官方应用中心获取应用。
提高网站的安全性是我们一直以来努力追求的目标,将来我们还会在程序安全性上做进一步的改善,请大家拭目以待。
原来是有很多zblog友的密码太简单了,这种类似论坛注册机无限测试你密码不过想不到zblog的老猪也是ikun有点想不到
更多技术教程,请关注技术教程网www.jishujc.com
