什麼！WordPress也有黑心版？

沒錯！WordPress也有假的，這是最近幾天在國外的許多WordPress相關網站討論的一個話題：「一個偽造的WordPress官網」，網址是wordpresz.org跟wordpress.org差一個字，裡面有所謂的「WordPress 2.6.4版」供人下載，真的就有人下載來安裝了，而真正的最新版本只到2.6.3，這一個假版本裡面的程式被動了手腳，就是一般常稱的「掛馬」：裡面有木馬程式可以竊取你的資料。

網路釣魚

不過這還是小兒科，我們還遇過更嚴重的版本，就是我之前講過的主機商無預警當機事件：「遇到了，就知道備份的重要性」中的元兇：一隻吃掉主機資料庫所有資源的掛馬版本，讓整台主機掛掉了，所以大家一定要小心喔！

這個在網路上以假網站、假檔案或者是有毒的圖片供人下載的方法叫作「釣魚Phishing」，由字面上你可以體會到對方提供一個看似誘人的東西來引誘你「上鉤」，其目的就是要竊取你的帳號密碼等個人資料，最近有越來越多的不法之徒用這種方法得逞，大家對網路安全一定要有正確的觀念才可以倖免。

如何避免被釣

最常見的「釣餌」除了上述的假網站、假檔案之外，就是有問題的電子郵件、網站及MSN傳送的連結，所以就算是你熟識的朋友所傳來的郵件或是連結也要小心處理，因為可能你的朋友中馬而帳號被盜用都不知，這是第一個要注意的。

再來不管要下載什麼程式，最安全的地方就是那個程式的「官網」，而且要注意你所進入的官網及下載的網址是不是正確的，就像這一次的事件網址只差一個字一般人稍不注意就會中獎。

我在幫人處理電腦問題時遇到過的有：Foxy,Flashget,nEOiMAGING等大家常用的程式都有被動過手腳的記錄，而這些使用者一般的習慣就是別人告訴你去哪裡下載程式，或是網路上搜尋找到的網站就下載了，這樣子下到有問題程式的機會是很大的，記得：「官網」才是提供原汁原味的程式，其他的有可能被「加料」。

有時候官網也有問題

但是更扯的是有一些程式連官網的版本就有問題，而這些程式有大部份都是對岸所出的，所以能不用或是無法確定的話最好敬而遠之！最有名的有問題程式到現在還是有一堆人再用的就是：「Foxy」！這隻狐狸我形容是出來騙人的，為什麼會這樣說請有安裝Foxy的人注意一下，當你的程式開啟的時候，右下角的系統工具列圖示顯示的是不是「下載0KB,上傳0KB」？但是你看一下ADSL或是網路卡的燈是不是一直在閃？也就是說一直有資料在傳入或是傳出，但是程式卻告訴你沒有在下載或上傳，這樣子的意圖已經很明顯了，你還敢再用這樣的程式嗎？

還有一個知名的程式是Flashget網際快車，在許多的版本當中都有被防毒程式抓包的記錄，但是還是很多人在用，看來不怕死的人真的很多！

其實問題最多的程式就是「P2P」程式，就是大家用來分享和下載程式、歌曲或是影片的工具，這類程式的安全性常常是打一個大大的問號的，因為你在下載的同時也會有人從你這裡下載東西回去，有心人士是可以透過這個管道偷偷地從你的電腦下載你的個人檔案，所以如果你沒有一套完整的安全防護的軟硬體的話，用P2P只是別人眼中的肥羊罷了。

中鉤後的處理方式

如果你不小心下到了我所講的「2.6.4」版的話，請將「wp-admin」和「wp-includes」兩個目錄刪除，再用官網下載的正確檔案補上就好了。

WordPress官網網址：http://wordpress.org

最後附上一些國外有關於這次的事件的連結網址，大家可以參考看看：

• Lorelle on WordPress - Warning: Fake WordPress Malicious Site
• Craig Murphy - WordPresz 2.6.4 - fake?
• Viper007bond - There is No Such Thing as WordPress 2.6.4
• Peter Westwood - WordPresz
• The Register - Trojanised WordPress
• ZDNet - Fake WordPress site distributing backdoored release
• Weblog Tools Collection - Fake WordPress Site