wordpress不可告知的漏洞揭晓并解决

可爱又雄壮的wordpress更新可以说是吃了猛药的，无忧主机小编为什么要这么说呢？是因为这段时间确实遇到了太多的wordpress被挂马了，被各种破坏的都有，但是无忧主机小编用wordpress在php空间搭建已经运行了这么久了始终是没有发现被挂马，但是漏洞还是需要解决的，但是wordpress每次更新几乎都是做的这些事情，可是有一个事情是被他们给忽略了，那就是IP验证不当漏洞，也就是说wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当，导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证，进行SSRF，所以接下来就看看无忧主机小编的讲解吧。 通过最近的新版本的wordpress4.6版本的是解决了这个一下部分，根据论坛中讨论的呢，他只解决了$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );的问题，而并没有把最后一步骤完善，所以无忧主机小编不等他们发布新版本了就自主的修复一下吧。 首先是进入到我们的会员中心--主机管理--控制面板--文件管理，点击进入public_html，然后找到/wp-includes/http.php文件，如图1所示： 然后点击编辑找到如下代码：

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]

本文地址：https://www.51php.com/wordpress/26233.html