oo電子商務網站提供的10個WordPress插件存在漏洞�,這些插件均由同一家公司Multidots為WOO網站提供���。因開發者尚未發布補丁程序����,而Woo網站的插件被許多高流量網站使用,所以WordPress禁用了危險插件。以下是危險插件的信息:
- WooCommerce Category Banner Management (Active installations: 3,000+) – Unauthenticated Settings Change
- Add Social Share Messenger Buttons Whatsapp and Viber (Active installations: 500+) – Cross-site Request Forgery (CSRF)
- Advance Search for WooCommerce (Active installations: 200+) – Stored Cross-site scripting (XSS)
- Eu Cookie Notice (Active installations: 600+) – Cross-site request forgery (CSRF)
- Mass Pages/Posts Creator (Active installations: 1,000+) – Authenticated Stored Cross-Site scripting (XSS)
- Page Visit Counter (Active installations: 10,000+) – SQL Injection
- WooCommerce Checkout For Digital Goods (Active installations: 2,000) – Cross-site request forgery (CSRF)
- WooCommerce Enhanced Ecommerce Analytics Integration with Conversion Tracking (Active installations: 1,000+) – Cross-site request forgery (CSRF) and Stored Cross-site scripting (XSS)
- WooCommerce Product Attachment (Active installations: 800+) – Authenticated stored Cross-site scripting (XSS)
- Woo Quick Reports (Active installations: 300+) – Stored Cross-Site Scripting (XSS)
據ThreatPress報道�����,安全研究員在10個插件中發現的漏洞類型五花八門。受影響的插件可通過WordPress.org獲得�,它們允許Woo商城用戶管理其在線商店�。據統計�����,易受攻擊的插件有將近20,000次主動安裝�����,其中包括10,000次頁面訪問計數器安裝,3,000次WooCommerce類別橫幅管理安裝以及2,000次數字商品WooCommerce Checkout安裝����。
經過安全專家研究后發現�,Multidots制作的插件受存儲的跨站腳本(XSS)�����、跨站點請求偽造(CSRF)和SQL注入漏洞的影響�,這些漏洞可以被用于全方位控制已安裝插件的電子商務網站�����。攻擊者可能會破壞網站,執行遠程shell����,植入鍵盤記錄器����,并上傳加密貨幣挖掘程序或其他類型的惡意軟件�����。
考慮到受影響的網站是收集個人和財務信息的在線商店���,攻擊者或許能夠獲得富含價值的信息����。這些漏洞允許未經身份驗證的攻擊者注入惡意JavaScript�,從而為劫持客戶的信用卡數據并接收客戶和管理員登錄提供機會。雖然大多數危險情境的實現需要安裝插件者訪問特質的URL或者頁面,但仍有一些漏洞帶來的缺陷能在沒有任何交互的情況下被利用。
Multidots 5月8日知曉后對存在的問題進行了確認,而后卻再無動作�����。所幸WordPress了解后決定禁用大部分受影響的插件���。在ThreatPress公開發布調查結果之前��,他們曾與Multidots聯系征求意見�,但該公司沒有回應�����。
CVE標識符已分配給其中四個漏洞,仍有6個漏洞還沒有得到標識符��。目前為止��,分配的標識符有CVE-2018-11579��,CVE-2018-11580,CVE-2018-11633和CVE-2018-11632����。
當前每個漏洞的技術細節和概念驗證(PoC)代碼已被披露�。專家表示:“很高興WordPress的安全反應速度這么快�,但我們仍然有一個大問題——難以告知所有用戶這些插件的威脅。奇怪的是WordPress能顯示可用更新的信息��,卻不能通過同樣的方式提供關于封閉插件的信息以提供保護���。我們希望看到這一領域的一些變化����。希望在這種情況下��,我們可以通知受影響網站的所有者,并保護近2萬個網站��?!?/p>
本文由 黑客視界 綜合網絡整理,圖片源自網絡�����;轉載請注明“轉自黑客視界”��,并附上鏈接����。
手機和平板都曾經打出代替PC的口號�����,但在所謂的“后PC時代”,它們最終都沒能替代電腦�����。市場回歸理性��,開始往多屏�����、多平臺聯動的路上走,我們也看到微軟Win 11����、云電腦的“掙扎”和努力�����。
就算iPad之后真的裝上了macOS,在可預見的10年內�,Windows依然會是最大的生產力平臺���。作為重度文字工作者����,我們這次推薦一波Windows平臺的軟件�����。里面夾雜個人對PC使用的一些建議和觀點,希望能幫助到大家。
文件管理工具
文件管理是桌面平臺的核心工作之一���,但Windows的資源管理器并不好用。Win 11忙著給資源管理器換UI,效率上也不用報太大希望。雖有QTTabBar��、Clover等強化工具�����,但更建議選擇Total Commander(TC���,老牌��、高門檻、鍵盤流、效率型)�、XYPlorer(也很強)��、OneCommander(有類似macOS的多級目錄樹)、Multicommander(不錯的圖片視頻媒體),或者輕量化的Q-Dir(可以直接顯示文件夾大小)和Explorer++(很小很快)等產品代替系統資源管理器。
而個人的主力資源管理器是Directory Opus,其主要優點是定制化程度高�、功能齊全,天生對鼠標友善。有強大的快捷工具欄�����、批量重命名(還嫌不夠強,就得找Renamer了)��、解壓縮、豐富的預覽格式支持��、快捷鍵自定義、自帶非常完善的同步功能(可理解為簡化版Goodsync)����、平面顯示(在當前頁攤開所有子目錄和文件)��、可默認顯示文件夾內容大?����。ù蠓档褪褂胻reesize等文件分析工具的頻次)。
個人極簡調試后的Directory Opus↑
Directory Opus的主要缺點是貴�����,非常貴����,功能太多���,調試麻煩�。但其備份和恢復功能很好用,調好一次,受用終身�。強烈推薦給任何有中重度文件管理需求的用戶���。
被Fences占滿的副屏↑ 無需打開資源管理器就能找到想要的文件
Fences是和資源管理器互補的工具�����。核心用途不是給桌面文件做分區整理,而是在桌面映射其他磁盤的內部文件����。效果是在桌面展開不同位置的文件夾�,變相在桌面攤開所有的內部文件目錄���,是暫時已知最快的文件移動和整理方案�。甚至還送你雙擊隱藏桌面、快速切換桌面分頁、自動文件分類等功能,真·良心產品�。
國內有騰訊桌面助手���、360桌面助手���、酷呆桌面等簡化型的免費產品(小貝桌面�、千雪���、獵豹輕桌面都已停更���,且體驗一般���,不建議使用)���,自定義功能不如Fences多��,但也有簡單的映射目錄功能。
筆記與便簽軟件
筆記軟件的本質是自帶文件管理的文檔編輯器��。Notion帶起了塊編輯器的模塊化風潮(印象筆記上叫超級筆記)��,但身為old school的機佬�,個人依然鐘情于OneNote����。它的核心是“筆記容器”功能,能在頁面任意位置添加多個分容器��,效果等同于同時展開了一大堆筆記�,一目了然才是真 ↓
OneNote也能在筆記間做鏈接和目錄,交互熟悉且自然�����,優秀的office格式支持����,方便的word、excel導入�����,隨時記錄和同步編輯進度�,無懼本地設備的各種意外。
即便是在國內環境�,只要成功登錄上微軟賬號��,OneNote同步就很少會遇到問題。它最大的缺點是“微軟砍刀部”對本地功能如影隨形的威脅����,所以個人至今還停留在能本地備份的OneNote 2016不敢升級�。
Floay for Sticky Notes ↑
Sticky Notes是Win 10自帶的便簽�,它看著平平無奇,但會跟著微軟賬號在PC之間同步�。在移動端配合我們之前安利過的“Floay for Sticky Notes”(點擊桌面插件�,直接彈出鍵盤和懸浮便簽開始編輯���。Home鍵或返回鍵��,自動退出和保存)�����,無縫鏈接電腦和手機。缺點依然是微軟在國內的薛定諤服務����。
對于無法解決微軟訪問問題的用戶�����,推薦為知筆記當跨平臺便簽工具。主因是為知電腦客戶端的桌面便簽很好用����,單擊便簽直接開始編輯�����,自動后臺保存和同步����。而手機端添加單獨手勢喚出為知筆記,提升效率,找補其桌面插件不好用的缺點����。喜歡的話�����,為知還能讓你自行部署本地服務器,夫復何求�����?就是手機端同步策略不夠智能�,偶會覆蓋桌面端的新筆記,需要手動恢復舊版本。
系統效率軟件
StrokesPlus.net ↑��,人生在世���,鼠標手勢少不了���。移動窗口���、前進后退�����、快速選詞搜索都是老操作����,就不多作介紹了�����。StrokesPlus.net功能多�����,手勢/快捷鍵/宏無所不包,會吃內存一些����。而經典的Strokesit已更新�����,現已支持Win 10,需求不多的話,它正好��,輕快�,簡單;
7+ Taskbar Tweaker,也是被例行安利的任務欄優化工具。鼠標中鍵關閉程序�、滾輪切換程序����、在通知區滾動調節音量���、快速喚出任務管理器/隱藏任務欄�,功能簡單實用。打開“不將已鎖定程序分組”�,能固定“被固定到任務欄的軟件”的位置(真是繞口)����,Win+數字快速打開���,不會亂����;
AltDrag�����,按著alt��,鼠標左鍵點擊窗口任意地方都能移動窗口,按著鼠標右鍵移動就能調整窗口長寬�����;
GridMove↑�,在自定義的方格塊中快速移動窗口
GridMove,連界面都沒有的窗口移動工具�����。窗口任意位置按著鼠標中鍵觸發�����,移動鼠標到設定的方格即可同時調整窗口大小和位置�,也能用“ctrl+數字”的快捷鍵快速移動和調整窗口����,大屏用戶必備。缺點是用文本來設定方格的位置��,不方便��,調起來一肚子火�;
Ditto�,最強粘貼板。粘貼板歷史���、分組�����、純文本粘貼�、粘貼時插入時間�、自動去換行、自動添加大寫等各種騷氣功能;
Massigra���,輕量化圖片瀏覽瀏覽器�,但設置和可自定義項奇多�。能設成隱藏標題欄和邊框,配合左鍵或右鍵單擊關閉文件����,舒服�����;
ScreenToGif,錄屏直接生成gif�����,以及很好用的gif編輯器��;
oCam:萬能錄屏�;
xnconvert:webq等圖片格式轉換���,支持批處理��;
Volume2���,系統托盤滾輪調整音量、快捷鍵調整亮度和音量����;
TrafficMonitor���,任務欄顯示CPU���、內存占用和上下行網速�����;
networx網絡流量統計。
系統調試工具
Extended GodMode ↑ :強化版上帝模式,帶搜索功能,把常用設置添加收藏����,比系統自帶設置好用多了��;
Registry Jump:注冊表轉跳工具,粘貼注冊表的文本地址,自動跳轉到目標,省得一層層點����;
右鍵管家:顧名思義����,優點是開關式操作���,不用搞什么備份�����,無懼翻車�����;
卡硬工具箱:幫你集成AIDA 64����、CPU-Z等各種搞機測試軟件,不定時更新����,方便省事
至于Startup Delayer(啟動項控制與排序)�、Seer(按著空格預覽圖片)����、火絨(360常見的功能都有,但沒廣告也不流氓)����、Dism++都是老工具�,就不吹了。
奇奇怪怪的可怕軟件
ManicTime:瘋狂的時間記錄,自動讀取任務欄激活的程序名�����。什么時候打開什么軟件�����,開了多久����,全都記錄在案�����,有自動標簽和統計�����。自從用上它,再也沒寫過日記了�。如女朋友/老婆有查崗習慣����,記得打開自帶的密碼保護和隱藏托盤圖標功能���;
AutomaticScreenshotter:自動截圖����,是配合ManicTime的“日記”工具。能定時自動截圖�����,也能設成切換窗口時觸發截圖�����。截圖命名規則、質量、截圖區域全都可以自定義��。同樣不能被愛查崗的女朋友/老婆發現��;
微博麋鹿工具箱���,“告別黑歷史”的微博自動處理工具���,批量設置“僅自己可見”或刪除微博��;
像大家都在用的Everything(公認好用的搜索工具)、wox(平時其實主要用來當計算器和快捷搜索框)、Snipaste(很好用����、很重/很吃資源的截圖工具)�����、Windows File Recovery(微軟官方的命令行數據恢復工具)之類��,大家都知道,就不多說了�。
個人用機/備份習慣
Windows平臺還沒有類似macOS“時間機器”的功能�����,所以就算是120G的SSD,都得額外分20G左右的D盤��,專門存放軟件�����。不要信“這個時代一個分區就夠”的鬼話,很多時候系統撲街,最快的方案都是重裝��,多一個分區存放軟件和數據����,可以省下很多功夫。系統重裝�����、裝好office�、打好新補丁之后,記得馬上搞個鏡像備份一下�����。
因為各種原因�����,Windows也沒有類似安卓鈦備份/OAndBackupX之類的軟件打包備份工具����。對于非綠色軟件��,得在C盤ProgramData��、Users\用戶名\AppData等文件夾里,手動找軟件的設定文件進行備份。
安裝軟件時��,把地址欄“C:\Program Files (x86)\XXX”的C改成D���,根據使用頻率或自己的分類習慣��,給文件夾添加數字編號,以此固定它們的排序��,方便查找和管理���。
打開微軟賬戶的設置同步功能����,重裝后同步大部分的系統設置。也可以定時創建系統還原點(入口在系統屬性-系統保護里)�����,以備不時之需�����,能有效降低重裝系統的頻率���。
而數據備份都是老話了��。周期性用電腦微信給手機微信備份,找個移動硬盤定時用FreeFileSync/GoodSync做備份重要數據�,Directory Opus自帶的同步功能也行�,甚至fastcopy這種復制工具也能將就一下�。
如果已經養成備份的習慣,最后大幾率會去搞個NAS��。無論是自己搭的FreeNAS/TrueNAS,還是買現成的群暉/威聯通QNAP����,有快照之后�����,不用費心做版本管理���,不但會讓你覺得折騰的時間和銀兩沒白費�,還會產生可以“畢業”的錯覺。
至于陣列���,因恢復麻煩,個人已棄坑�,選擇了多加一臺NAS做異地備份的方案?���,F在是從公司主力機出發�����,同步到老家的主力群暉���。住的地方還有臺群暉�����,每天開機一小時,單向同步核心數據���。而公司還有臺用SMB的FreeNAS,每天FreeFileSync做鏡像備份����。加上主力PC本身���,核心數據有4套硬盤備份����,默默畢業���,然后等著某天哪塊硬盤崩掉(受虐滑稽.jpg)
