小洞不補大洞吃苦。對于bloggers來說這是永恒的真理，僅僅花一點時間在馬上就升級上省下了很多之后修復一些問題的工作。

現(xiàn)在，舊版本WordPress并且也沒打補丁的正遭受一種蠕蟲病毒的攻擊。這種特別的蠕蟲病毒（跟以前的差不多）的攻擊方法很聰明：先注冊一個用戶，利用一個安全漏洞（在今年早些時候已經(jīng)修復）使攻擊代碼通過永久鏈接來執(zhí)行就可以使得這個用戶獲得管理員權(quán)限，接著當你查看當前用戶頁面的時候使用JavaScript腳本來隱藏自己，接下去把自己清理干凈。所以當它在你的舊文章里插入垃圾廣告和惡意軟件時你永遠也不會發(fā)現(xiàn)。

盡管技巧非常的新穎，但對策仍十分古老。當這個蠕蟲病毒正在“清理”階段時：它并沒有很好地隱藏掉，然后博主會注意到博客里的所有鏈接都已失效，這樣便會使他深入探究并且意識到了危害的廣度。以前的蠕蟲病毒會做一些傻X的事情比如破壞你的站點，但這種新的卻是安靜且無法察覺，所以你唯一會注意到它的破壞的時候是他們已經(jīng)破壞了你的博客（就比如先前提到的那個）或者你的網(wǎng)站已經(jīng)被google移除搜索結(jié)果因為你的站點上有垃圾廣告和惡意軟件。

我在這里說這個并不是嚇唬你，而是提醒你這是過去已經(jīng)發(fā)生過的并且將更有可能再次發(fā)生。

還是那句話，小洞不補大洞吃苦。升級的確是一項工作量挺大的活兒。WordPress社區(qū)也已經(jīng)花了巨大的精力使現(xiàn)在升級只需一鍵升級。修復一個被黑掉的博客，從另一方面來說，也是非常辛苦的。打個比方來說，升級只是投入一些精力；而修復被黑掉則是心臟直視手術(shù)。（對于所需的花費來說，也是一樣的。）

2.8.4，目前WordPress最新的版本，對于先前提到的那個蠕蟲病毒是免疫的。（2.8.4之前的一個版本也是對此蠕蟲免疫。）如果你已經(jīng)在計劃要升級但還沒正式行動，現(xiàn)在就開始做吧！如果你已經(jīng)升級了你的博客，或許督促、檢查下你朋友的或者你閱讀的那些博客，看看他們是不是需要幫助。還是那句話，小洞不補大洞吃苦。

不管蠕蟲病毒什么時候登門拜訪，每個人都可以使用如下三種技巧中的一種：1.陰險的小技巧；2.Club方案；3.真正的解決方案；來成為安全專家。第一種陰險的小技巧是你馬上現(xiàn)在就可以使用的就是隱藏WordPress版本號，然后就沒事兒了。額。。。不過，蠕蟲的作者也會考慮這個。他們的1.0版本的蠕蟲也許檢查的版本號，但2.0只是測試性能，版本號根本沒用。

第二種方法是Club 方案。為了闡述這個方法，我引用下Mark Pilgrim7年前一篇非常好的對付spam的文章（那是比WordPress年齡還久遠的年代啊）：

真正有意思的關(guān)于這些方法的，從博弈論的角度來看，是他們都是Club 方案，而不是Lojack方案。有兩種基本的方法來防止你的車被盜：The Club（或者The Shield，或者汽車防盜情報，又或是其他類似的東西），以及Lojack。Club方案對于一個堅定地想要偷你車的賊來說并不怎么起作用（鉆鎖孔、拆掉方向盤并且關(guān)掉Club都是非常簡單的）。但是對于某個只是想偷車（并非一定是你的車）的賊還是非常有效的，因為賊通常是非?；琶Φ亩沂钦易钊菀紫率值哪繕耍ù騻€比方，就像是低垂的果實）。只要不是每個人都裝Club或者每個人都裝了Club，對于賊來說就會花費等同的時間在任何一輛車上，于是他們的選擇就會給予其他因素，那么你車的被盜可能性就跟其他車一樣了。Club并不會使小偷不偷你的車，只是讓他換個目標。（Aaron注：其實Club就是防君子不防小人的意思）。

Club式的博客安全方案可以是非常簡單的（就比如一個.htaccess文件）也可以是非常復雜的（就像雙因素驗證），然后他們就可以工作了，特別是針對已知的漏洞利用。Club方案可以非常有用，就好像使用一個足夠強、復雜的密碼——沒有人會不推薦這么做。（另外一個Club方案是換一個更少人用的軟件，基于這樣一個架設(shè)又也許更像是該軟件聲稱：這是完美而且更加安全。這是為什么BeOS比Linux更加安全。）

在汽車的領(lǐng)域里，如果某些人發(fā)明如何將整輛車傳送至“贓車店”，Club或許就不再那么有用了。不過對于Club的制造商幸運的是，這還未發(fā)生。但在網(wǎng)絡(luò)和軟件的世界里，相同的事情幾乎每天發(fā)生。這里也只有一個真正的實際方案。如今以及將來我唯一能保證你的博客安全的事情就是不斷地升級。

WordPress是一個由上百人組成的社區(qū)，每天都在閱讀代碼、審查、升級，并且在保證博客的安全性上花費了足夠大的精力。我不是千里眼我也不可能預測那些寫垃圾廣告的、黑客、破壞者、騙子們將來會想出什么辦法來損壞你的博客，但是目前我只知道只要WordPress還在我們將會盡一切力量確保軟件是安全的。我們已經(jīng)把升級核心組件和插件做成了一鍵升級。如果我們找到某些有問題的地方，我們將會發(fā)布一個修復補丁。請升級，這是唯一我們能互相幫助的。