近期,我们收到了不少用户的反馈,称网站目录中出现木马文件,经过日志等途径排查,发现大都系密码过于简略而被恶意轮出,导致网站后台被打开从而存入木马文件。我们发现了这一问题后,立即采取了相应的措施:
完善 Z-BlogPHP 登录机制(增加 CSRF Token 的校验、登录验证码),增加破解密码进入后台的难度,提高登录安全性;
完善开发者应用上传机制,提高开发者上传应用的安全性。
另外,我们建议用户进行如下操作,保护自己网站的安全性:
尽快更新到 Z-BlogPHP 最新版本 1.7.3.3260 及以上,开启网站登录验证码;
安装令牌登录器插件,开启管理员登陆两步验证;
提高密码复杂度,切勿使用较常见的易被猜出的密码;
查杀网站目录,检查有无不明文件,及时删除潜在的病毒;
开启应用中心客户端的「安全模式」,增强安全性;
拒绝安装未知来源的 Z-BlogPHP 应用,建议从官方应用中心获取应用。
提高网站的安全性是我们一直以来努力追求的目标,将来我们还会在程序安全性上做进一步的改善,请大家拭目以待。