wordpress 6.2.0 docker版本疑似被植入木馬

我在2023年4月6日,將網站升級到6.2.0(docker版本) : 回想起一開始升級時, 容器(container)為舊版, 我沒有採用拉取(pull)方式升級, 直接使用內建升級功能,可惜失敗了!出現找不到“sw-check-permissions-e2a8b.js”錯誤;於是我改用拉取最新容器方式升級, 而且成功了。

升級後,,我陸續寫了好幾篇文章,卻沒有發現網站已經有狀況了。直到今日(4月24日),我在同事電腦,瀏覽自己網站時,防毒軟體居然跳出”木馬”警告,我才意識到出事了!

警告內容為「bujerdaz.com」這個網站有木馬;既然有明確網站名稱,肯定網站內有這些字眼,我馬上登入網站伺服器,搜尋了一番, 還真的有找到:

找到問題後, 接下來就是決定解決方式: 1、刪掉這一行含木馬之語法;2、查看看容器是否有最新版

第一種做法「刪掉木馬語法」通常逼不得已才做;於是我先選擇第二種「查看容器是否有新版」,沒想到,一模一樣的6.2.0版本,居然有不同內容,這明顯是官方犯了錯誤!一般我們不會懷疑同版本容器,內容會被異動;若內容不同,必須進一個版號,並且昭告天下有修補版本! (官方並沒有說明)

這讓我以後升級需要多一個心眼,要以防毒軟體進行掃描,至少不要影響用戶端瀏覽網站。


2023/4/25 雖然升級新版容器,自以為問題已解決,沒想到問題還是在!仔細一看,是plugin外掛所造成的,難怪用新版容器還是無法解決,因「外掛」程式我繼續沿用,不因容器更換而刪除,當然「木馬」一直存在。我發現阻擋垃圾留言的外掛「akismet」,出現兩個版本: 一個5.0;另一個1.2。(理論上不該存在兩個版本) 版本1.2裡面寫到要連線 bujerdaz.com ,看起來應該是進行一些確認才允許留言,我認定非木馬程式,可能wordpress系統用太多年了,這次大版本升級造成兩個版本並存之現象;最後移除1.2版akismet,只留下5.0版本,就恢復正常了。另外,依照這邏輯,我的網站應該「有問題」很久了,真的很不好意思。

#wordpress
#virus
#Trojan

安裝wordpress權當公司內部訊息公告網站

以前安裝wordpress(包括目前這個網站)都只用陽春功能, 沒遇到什麼問題,也可以一直更新到最新版.

直到最近想要幫公司裝一個簡單的內部訊息公告網站, 需要安裝兩個插件, 但其中一個插件需要額外安裝php 7.x extension ,
安裝extension這倒是沒什麼問題, 問題是官方的wordpress居然安裝失敗, 要用很多方法才能解決, 實在有夠麻煩.

這個插件就是用來新訊息公告的時候, 可以自動發信給相關的人 , 請參考 mailpoet , 這個插件乾脆就自己弄一個wordpress, 直接將相關的插件都裝起來
雖然mailpoet對於安裝沒有過多的著墨, 其實就跟自己手動安裝一樣簡單, 交由wordrepss wizard就可以了

貼上自己簡單的安裝方式

1. 安裝mariadb container(name:mariadb)
   安裝完畢記得新增一個database名稱叫做wordpress    
   create database wordperss character set utf8mb4 collate utf8mb4_unicode_ci
2. 安裝mailpoet/wordpress
   docker volume create wp-content
   docker run --name mywordpress -v wp-content:/var/www/html/wp-content -p 8080:80 \\
   -d --restart always  mailpoet/wordpress:wp-5.4_php7.4_20200617.1
3. 停用mywordpress , mariadb
   docker stop mywordperss
4. 讓mywordpress與mariadb成為羈絆
   docker network connect myNetwork mariadb
   docker network connect myNetwork mywordpress
5. 啟用mywordpress, mariadb , 進入網頁的wizard , 就可以輸入mariadb的名字進行安裝了
   docker start mariadb
   docker start mywordpress
   

單一docker server,多個Container如何互相認識

安裝非官方的wordpress(mailpoet/wordpress) , 發現指定mysql的ip失敗(一樣是docker) , 原來是忘了將mysql與wordpress這兩個container 綁定相同網路, 這樣兩個container可以互相ping對方的名字, 也可以互相認識了

docker network connect myNetwork <container name>

myNetwork 可修改

爵士音樂家 – WordPress 主要版本之命名規則

咖啡偶自從裝了WordPress這個架站軟體後, 想說查詢一下歷屆版本, 是否有安全漏洞.

偶然發現 WordPress 的版本代號居然是用爵士音樂家命名

就好像安卓Android使用甜點命名一樣呢!

為什麼這樣命名呢? 說了會讓100億螞蟻都驚呆了XD

原因是:   WordPress 的核心開發人員都愛死爵士樂了!

目前本站版本為 4.9 代號是 Billy Tipton (比利.提普頓)

Tipton 19歲出道, 直到他74歲去逝後, 人們才知道他是女兒身,

博客來書店有他的傳記 http://www.books.com.tw/products/0010152984

WordPress代號命名如下

1.0 Miles Davis
1.0.2 Art Blakey
1.2 Charles Mingus
1.5 Billy Strayhorn
2.0 Duke Ellington
2.0.5 Ronan Boren
2.1 Ella Fitzgerald
2.2 Stan Getz
2.3 Dexter Gordon
2.5 Michael Brecker
2.6 McCoy Tyner
2.7 John Coltrane
2.8 Chet Baker
2.9 Carmen McRae
3.0 Thelonious Monk
3.1 Django Reinhardt
3.2 George Gershwin
3.3 Sonny Stitt
3.4 Grant Green
3.5 Elvin Jones
3.6 Oscar Peterson
3.7 Count Basie
3.8 Charlie Parker
3.9 Jimmy Smith
4.0 Benny Goodman
4.1 Dinah Washington
4.2 Bud Powell
4.3 Billie Holiday
4.4 Clifford Brown
4.5 Coleman Hawkins
4.6 Pepper Adams
4.7 Sarah “Sassy” Vaughan
4.8 William John “Bill” Evans
4.9 Billy Tipton

 

向google申請新網域kafeiou.pw, 可免費代管DNS

google 提供DNS代管服務,只要跟他買網址,就能免費代管.

而這些網址有些相當便宜, 如.com只要12美金  .pw只要9美金.

咖啡偶在中國拼音是 kafeiou  

因此咖啡偶手癢,申請了一個 kafeiou.pw 網址 , 而pw是帛琉這個國家的縮寫, 但解釋成Professional Webstie(專業網站)也是可以的啦!

有了網址, 就應該來成立部落格網站!

部落格網站好多, 研究了一下, 有要錢的,有免費試用再收錢的,有免費有廣告的.

我參考傑瑞窩(https://jerrynest.io) ,

照著試用了Google雲端平台 以及 RedHat openshift, 但老實說,除了專業人士能看出門道外,如k8s,  個人感覺不夠平民.

於是呢, 就只好自己架設網站!

可是自己架設又很麻煩, 要考慮

1. 網站加密https ,可到Let’s Encrypt免費申請, 而且以後要注意3個月是否自動延期成功.

2. DNS沒有CAA功能, 無法申請Let’ Encrypt.

3. 網頁伺服器需要維護,否則會有資訊安全的問題,

4. 只有一台主機, 自己其他系統跟此部落格是否有衝突.

5. 須考慮部落格軟體是否方便升級,備份.

好險google的DNS有CAA功能, 第1,2項解決了.

第3項使用 apache 代理功能, 以及Linux系統更新解決.

第4,5項使用Docker解決.

至於docker是啥? 簡單的說就是APP虛擬化, 以前是作業系統虛擬化, 但是作業系統越來越多, 維護也是一樣困難, 所以現在很多改用docker , 可以一個作業系統, 搭配多個虛擬app, 可到 這裡 學習一下!

咖啡偶的部落格後來決定選用 wordpress 4.9.4 + php 7.2 ,

wordpress使用docker安裝方式,請參考10010_(Docker)如何安裝wordpress.txt

1 2