新闻中心
wordpress不可告知的漏洞揭晓并解决
作者 / 无忧主机 时间 2018-01-31 18:09:34
可爱又雄壮的wordpress更新可以说是吃了猛药的,无忧主机小编为什么要这么说呢?是因为这段时间确实遇到了太多的wordpress被挂马了,被各种破坏的都有,但是无忧主机小编用wordpress在php空间搭建已经运行了这么久了始终是没有发现被挂马,但是漏洞还是需要解决的,但是wordpress每次更新几乎都是做的这些事情,可是有一个事情是被他们给忽略了,那就是IP验证不当漏洞,也就是说wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF,所以接下来就看看无忧主机小编的讲解吧。 通过最近的新版本的wordpress4.6版本的是解决了这个一下部分,根据论坛中讨论的呢,他只解决了$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );的问题,而并没有把最后一步骤完善,所以无忧主机小编不等他们发布新版本了就自主的修复一下吧。 首先是进入到我们的会员中心--主机管理--控制面板--文件管理,点击进入public_html,然后找到/wp-includes/http.php文件,如图1所示: 然后点击编辑找到如下代码:
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]如图2所示: 然后修改为如下代码:
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]如图3所示: 就这样我们就把这个问题就给修复了。现在wordpress的安全有提高了一点了。
本文地址:https://www.51php.com/wordpress/26233.html
上一篇: 完整安装网站(以discuz程序为例)
下一篇: phpbb后台功能介绍–论坛功能