WordPress2.2.1的新漏洞

31日有人发布了七个相关的漏洞,原始页面:WordPress ZeroDay Vulnerability Roundhouse Kick and why I nearly wrote the first Blog Worm (updated) ~ mybeNi websecurity。已经被wordpress的Trac收录。

大家可以看发布者的另一个文章,比较好玩.
This is the first Weblog XSS Worm
It uses the Security vulnerabilities in the latest WordPress Version (2.2.1) to get into your blog and help you patching the Security flaws! Everything based on Cross-Site Scripting and Cross-Site Request Forgery

*_! ,晕倒。

更换反垃圾评论插件

这几天服务器的php-cgi进程经常在24小时左右就死掉。
今天再次死亡的时候,和Real JJ一起检查后,居然发现是wordpress SK2插件造成的。
由于SK2的RBL Server有一个blbl.org最近关闭,使得该地址的访问一直在等待TimeOut,最终导致php-cgi进程整个死锁。

该问题可以通过在数据库中删除type 为 rbl_server,值为blbl.org相关的记录解决。

我是火大,不用这个插件了。更换为Math Comment Spam Protection
也省的评论表一直增大增大,看了就郁闷。

wordpress在nginx下的rewrite设置

因为服务器迁移的问题,新的web server是nginx。
可惜nginx不支持.htaccess。因此只能自己写rewrite规则。

我的站点url,wordpress里规则使用的是 http://blog.it580.com/%post_id%/.在nginx的配置文件中,配置如下:

location / {
index index.php index.html;
if (!-e $request_filename)
{
rewrite ^/(.+)$ /index.php?p=$1 last;
}
}

修改完配置后,别忘记将nginx的服务reload 一下。^O^