有多个用户报告警告称,最新版本的 WordPress 会触发木马警报,并且至少有一人报告称,一家网站托管商因为该文件而锁定了一个网站。真正发生的事情成为了一次教训。
杀毒软件标记 WordPress 6.6.1 官方下载中的木马病毒
第一份报告是在官方 WordPress.org 帮助论坛上提交的,其中一名用户报告说,Windows 11 中的原生防病毒软件(Windows Defender)标记他们从 WordPress 下载的 WordPress zip 文件包含木马。
以下是原文内容:
“当我尝试从官方 wp 网站下载时,Windows Defender 显示最新的 wordpress-6.6.1zip 含有 Trojan:Win32/Phish!MSR 病毒
当我从我的网站的 WordPress 仪表板进行更新时,它显示相同的病毒通知
这是假阳性吗?”
他们还发布了木马警告的截图,其中列出状态为“隔离失败”,并指出版本 6.6.1 的 WordPress zip 文件“很危险,会执行攻击者的命令”。
Windows Defender 警告的屏幕截图
其他人确认他们也遇到了同样的问题,并指出其中一个 CSS 文件(控制网站外观的样式代码,包括颜色)中的一串代码是触发警告的罪魁祸首。
他们发文说:
“我遇到了同样的问题。它似乎发生在文件 \wp-includes\css\dist\block-library\style.min.css 上。CSS 文件中的特定字符串似乎被检测为特洛伊木马病毒。我想允许它,但我认为我应该等待官方回复再这样做。有谁可以提供官方答案吗?”
意想不到的“解决方案”
误报通常是指测试结果为阳性,但实际上测试结果并非阳性。WordPress 用户很快就开始怀疑 Windows Defender 木马病毒警报是误报。
官方WordPress GitHub已提交问题单,其中确定原因为 CSS 样式表中引用的不安全 URL(http 而非 https)。URL 通常不被视为 CSS 文件的一部分,因此 Windows Defender 将此特定 CSS 文件标记为包含木马的原因可能就在于此。
事情朝着意想不到的方向发展。有人又打开了 WordPress GitHub 票证,记录了针对不安全 URL 的拟议修复方案,这本应是故事的结束,但最终却让人们发现了真正发生的事情。
需要修复的不安全 URL 是这个:
http://www.w3.org/2000/svg
因此,开具票据的人用包含 HTTPS 版本链接的版本更新了文件,这本应是故事的结束,但却忽略了一个细微差别。
(‘不安全’) URL 不是文件源的链接(因此并非不安全),而是定义 XML 中可缩放矢量图形 (SVG) 语言范围的标识符。
因此,问题最终不是 WordPress 6.6.1 中的代码问题,而是 Windows Defender 未能正确识别“XML 命名空间”,而是错误地将其标记为指向可下载文件的 URL 链接。
总结
Windows Defender 的误报木马文件警报和随后的讨论对许多人(包括我自己!)来说是一个学习的机会,让他们了解了有关 SVG 文件的 XML 命名空间的一些相对神秘的编码知识。
