今天打開 blog , 才發現不能玩了 ! ….@@\” …
發現 URL 整個被亂導了 … 被導向 /wp-login.php/xxxxxx . 從 httpd.log 中確認 , 有許\多對這個 wp-login.php 做 POST 的動做 . 這可一點兒也不正常 . 看來問題出在這個檔 ! 可透過漏洞去更改 mysql 中 siteurl 這個option 內容 .
在 wp-login.php 找到了這3行 :
// If someone has moved WordPress let\'s try to detect it
if ( dirname(\'http://\' . $_SERVER[\'HTTP_HOST\'] . $_SERVER[\'REQUEST_URI\']) != get_settings(\'siteurl\') )
update_option(\'siteurl\', dirname(\'http://\' . $_SERVER[\'HTTP_HOST\'] . $_SERVER[\'REQUEST_URI\']) );
再 check functions.php 裡的 update_option, 確實是會去對 mysql table 做 update 的動做… shit , 這行 code 到底是幹麻用的哩 ?… 結論是我就把這幾行都 mark 起來 … umm ~ …應該就 ok 了吧 ~?… 至少目前看起來是 ok 的 !
1.2.1 太舊了啦, 趕快換到最新版吧, wordpress 漏洞很多
1.2.1 太舊了ㄛ ? 那新版的(看來是 2.6.x) 可以直接套用之前的 database 嗎 ?… @@”
應該是可以直接升級, 用新版程式蓋掉舊版即可, 在登入管理介面時會自動處理升級的部份,
不過 1.x 升 2.x 跳很大, 先備份一下比較好