插件-超百万站点使用-被曝以明文记录密码-AIOS-WordPress (chaos插件)

教程大全 2025-07-07 20:49:02 浏览次

Bleeping computer 网站披露，超过百万 WordPress 网站使用的 All-In-One Security（AIOS）WordPress安全插件被曝将用户尝试登录的明文密码记录到网站数据库中，此举可能危及账户安全。

AIOS 是 Updraft 开发的一体式解决方案，主要为 WordPress 网站提供网络应用程序防火墙、内容保护和登录安全工具，以阻止机器人并防止暴力攻击。

大约在三周前，一位用户反应 AIOS v5.1.9 插件不仅将用户尝试登录记录到 aiowps_audit_log 数据库表中，用于跟踪登录、注销和失败的登录事件，还记录了用了输入的密码。该用户担心此举违反了包括NIST 800-63 3、ISO 27000和GDPR在内的多项安全合规标准，

漏洞的初步报告（wordpress.org）

接到反馈后，Updraft 方面回应称该问题是一个 “已知错误”，并含糊地承诺将在下一个版修复问题。在意识到问题的严重性后，Updraft 支持人员两周前向相关用户提供了即将发布的开发版，但是试图安装开发版的用户仍指出密码日志没有被删除。

7 月 11 日，AIOS 供应商发布了 5.2.0 版本，其中包括一个防止保存明文密码并清除旧条目的修复程序。AIOS 供应商在公告中一再强调 AIOS 发布的 5.2.0 版本更新版本修复了 5.1.9 版本中存在的一个错误，该错误导致用户密码以明文形式添加到 WordPress 数据库中。

一旦“恶意”网站管理员在用户可能使用相同密码的其他服务上尝试利用这些密码，此举会带来一些安全问题。此外，一旦被暴露者的登录信息在这些平台上没有受到双因素身份验证的保护，“恶意”管理员就可以轻易接管用户的账户。

除了“恶意”管理员带来的安全风险外，使用 AIOS 的网站还将面临黑客入侵的风险，这些黑客一旦获得网站数据库访问权限，便有可能会以明文形式泄露用户密码。

截止到文章发布，WordPress.org 统计数据显示大约四分之一的 AIOS 用户已将更新应用 5.2.0 版本，因此推算大概仍有超过 75 万个网站处于易受攻击状态。

更不幸的是，WordPress 一直以来都是网络攻击者的攻击目标，一些使用 AIOS 的网站可能已经被泄露，再加上该安全问题已经在网上传播了三周多，且 Updraft 没有警告用户暴露风险的增加，因此，可能已经发生了一些安全威胁事件。

最后，使用 AIOS 的网站应该尽快更新到最新版本，并要求用户重置密码。

www.xigou100.com有人知道这个网站是用什么程序做的吗？有没有这么漂亮的免费的开源程序提供呢？谢谢了

这个应该是自己设计开发的网站。免费的开源程序有dede wordpress 等等，也都是很不错的。默认的模板虽然没有这个网站漂亮，但如果你会改的话，甚至可以做的比那个喜购网更好看！

网站推广方式有哪些利有哪些弊？

第一招：在博客中言过留声方法解剖：现在提供博客的网站非常多。有些站长会在自己的博客上加入自己的网站文章，然后在文章中加入网站的链接的方式来宣传网站。还有的就是在一写热门的博客中，用留言的方式宣传自己的网站。比如许多名人博客的访问量超过千万次，如果每次自己的留言都能够抢到 “沙发”，带来的流量也相当的大。另外对于一些广泛使用的博客程序，如Wordpress、Z-blog等，它们的留言功能都允许输入网站地址，在这类博客种输入自己的网站地址，留言会有网站名称和链接显示，这样一来不仅直接增加网站的点击，还可以为网站增加外部链接，对于搜索引擎优化的效果非常大。利弊分析：建立多个博客的方法如果运用得当，文章优秀而被推荐到博客首页，每天为网站带来的流量是相当可观的，但这很难做到，需要花费大量的精力;而采用在他人博客中留言的方式，虽然也有效果，但很容易给他人博客造来大量的无用评论，而且对于批量的SPAM，各种搜索引擎都会有相应的惩罚措施。第二招：软文宣传方法解剖：在与站长相关的网站中，通过投稿提交自己写的经验文章，在文章中加入自己的网站网址以及其他宣传信息，获得发布后就会显示在首页。如果文章受到网友的欢迎，还有可能被顶到网页的显著位置，从而获得更多的浏览量。宣传软文对网站起到的推广作用不可忽视，很多网站包括大型网站都是通过此种方法进行站点的推广，不过大型网站一般都会有公关公司来负责这些文章的发布，对于个人站长，可以在网络媒体上有写文章获得发布机会，包括艾瑞网、Donews、Techweb等网站都适合对电子商务的网站进行推广。通过此种方式发布文章，一定要正对实际情况进行平台的选择，诸如交友网站的宣传文章，发布到专业网站上就会大打折扣。比如那些经验心得类的文章，不比写的非常专业和有文采，只有没有很多错别字以及表达通顺，同时有自己的见解就够了，而在文章的末尾提一下自己的网站，或者把自己的网站当作案例传承到文章的字里行间，网站也会被更多的人知道。利弊分析：通过文章来宣传自己网站的方式不仅能锻炼自己的写作能力，还能进行隐性的网站推广。不过目前有很多站长为了宣传而宣传，使用胡乱拼凑的文章进行发布，这样不仅浪费阅读者的时间，也让自己的网站显的不权威，缺乏可信度。第三招：自问自答式的问答推广方法解剖：在大型知识型问答类网站如网络知道、雅虎知识堂、搜搜问问等中回答与自己网站内容相关的问题，然后在问题中加入自己的网站链接来宣传网站。这种方式可以说在最初的时候在网络知道应用很高，最初的时候我的887机战网就是从网络的一个问题中，每天能来一百多个IP。一般来说，如果只是单纯的写上一个网址，这样的回答很难别采纳，所以一些站长会采用一些折中的方式，如将自己的网站巧妙的融入回答中，让用户有兴趣打开网站;或者回答一部分，后面提供自己的网址等。还有的站长会注册多个用户名，自问自答，然后将自己的回答选为最佳答案。比如“什么网站在线看电影速度最快？”这样的问题，而最佳答案又是一个电影网站，通常都是站长在采用自问自答的方式推广自己的网站。利弊分析：如果回答的问题确实有价值，能解决网友的问题，哪么这种推广方法的持久性就非常好，可以源源不断的为网站带来流量。但要是大量的进行问题回答，并加上自己的广告，轻则可能造成问题别删除，所做的大量的广告段时间内消失无踪，对于网络知道这样的搜索引擎网站，甚至还会造成在搜索引擎中被删除索引的后果。第四招：利用群组消息即时推广方法解剖：利用即时软件的群组功能，如QQ群、MSN群等，加入群后发布自己的网站信息，这种方式即时为自己的网站带来流量。如果同时加几十个QQ群，推广网站可以带到非常不错的效果。但这中方式同时也别很多人厌恶，如果加入一群发布的是直接广告，管理较好的群组马上将发广告的人“踢出”，但现在很多站长都开始使用其他的方式，如先与群管理搞好关系，平时积极参与聊天等获得，在适当的时候发布自己网站的广告，可以起到更好的效果。另外还有一种现在很多站点都在使用的方法，就是建立自己网站的Q群，然后在网站上宣传吸引网友的加入，这样一来不仅能够近距离跟自己的网站用户进行交流，还能增加用户的黏性，而且网站有什么新功能推出，可以即时在群中发布通知信息，并且不会有被发广告而被“踢出”的后顾之忧。利弊分析：前一种通过添加QQ群宣传的方法会打扰到大多数的群员，但是又确实会产生直接的效果，但如果针对的用户群体不符，则起不到任何的宣传的效果。而后好一种方法更为实用，不仅能与网站的用户进行交流，而且还能起到宣传作用。第五招：为图片加上网址的病毒式营销方法解剖：这是一种比较有创意的宣传网站的方法，如果发布的表情广泛流传，就能在短时间内给网站带来很大的流量。这种图片最初是在论坛里经常看到的签名图：一个小卡通人举这一块牌子，上面写着你的IP地址，操作系统和浏览器名称。该部分显示的内容是可以改变的。后来看到网站上流传甚广的新年金牌，把你要送的人的名字写下就可以显示在图片的金牌上，还以为是高手PS的，后来才发觉只要输入文字即可。还有就是埃菲尔铁塔上的条幅了。都属于这一类推广方法。这一类方法里用的最多的就是给上传的图片打上网址的标记，或者制作带有网址的表情图片等，最早使用这些方法的网站从中获得了大量的访问量。利弊分析：这种方法非常有创意而且也很实用，可以直接带来宣传效果。但是如果要使宣传的效果比较好，则需要自己制作比较有意思的表情图片，只有原创才能带来更多的点击率。但是如果将每一长图片都添加上网址，而且还是很生硬的话，就会受到用户的心理抵触，反而起到相反的效果综合以上五招，基本上N多站长都多多少少的用过。最后说一句。网站的推广与发展是一个长期的事情，马云曾经说过，短暂的激情是不值钱的。所以最后一句话就是：作站，贵在坚持！