可爱又雄壮的wordpress更新可以说是吃了猛药的,无忧主机小编为什么要这么说呢?是因为这段时间确实遇到了太多的wordpress被挂马了,被各种破坏的都有,但是无忧主机小编用wordpress在php空间搭建已经运行了这么久了始终是没有发现被挂马,但是漏洞还是需要解决的,但是wordpress每次更新几乎都是做的这些事情,可是有一个事情是被他们给忽略了,那就是IP验证不当漏洞,也就是说wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF,所以接下来就看看无忧主机小编的讲解吧。

通过最近的新版本的wordpress4.6版本的是解决了这个一下部分,根据论坛中讨论的呢,他只解决了$same_host = strtolower( $parsed_home[‘host’] ) === strtolower( $parsed_url[‘host’] );的问题,而并没有把最后一步骤完善,所以无忧主机小编不等他们发布新版本了就自主的修复一下吧。

首先是进入到我们的会员中心–主机管理–控制面板–文件管理,点击进入public_html,然后找到/wp-includes/http.php文件,如图1所示:

13 300x228 wordpress不可告知的漏洞揭晓并解决

然后点击编辑找到如下代码:


if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]

如图2所示:

21 300x168 wordpress不可告知的漏洞揭晓并解决

然后修改为如下代码:


if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]

如图3所示:

31 300x169 wordpress不可告知的漏洞揭晓并解决

就这样我们就把这个问题就给修复了。现在wordpress的安全有提高了一点了。

本文地址:http://www.51php.com/wordpress/26233.html

喜欢本文或觉得本文对您有帮助,请分享给您的朋友 ^_^

阅读本文的人还阅读: