使用新浪微博账号登录 登录 注册
发起

阿里云提醒“wordpress IP验证不当”,怎么修补这个漏洞?

Wordpress 验证 漏洞
登录阿里云账号,发现服务器控制台中间提示网站存在漏洞,等级为“需尽快修复”,“wordpress IP验证不当”,怎么修补这个漏洞?
2018-11-19 16:53 0 条评论 分享

站外

邮件

1 个回复

CMSYOU - CMS企业网站定制专家

赞同来自:

wordpress IP验证不当漏洞:wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。
解决方案:
1、在路径:/data/wwwroot/www.domain.com/wp-includes/http.php找到http.php文件,用Editplus或者Notepad++打开(修改之前记得先备份http.php原文件),大概在533行(不同的WordPress版本可能行数不同,你可以查找关键词进行查找):
$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );

修改为:
$same_host = ( strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ) || 'localhost' == strtolower($parsed_url['host']));


2、在http.php文件的549行:
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]

修改为:
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]
2018-11-19 16:57 0 条评论

分享

0

要回复问题请先登录注册

相关问题

Wordpress网站用阿里云万网虚拟主机说是网站因耗资源被关停,怎么破? Wordpress在IIS下怎么伪静态? 为什么360总是提示Phpcms v9有api漏洞? Phpcms v9 respond.phpphpcmsv9宽字节注入漏洞怎么修正? 收到阿里云的邮件:关于网站主页下方标明备案编号的通知,怎么办? Phpcms管理中心登录时不显示验证码,怎么破? Metinfo 6.1.2碰到SQL注入漏洞问题,怎么办? 阿里云CDN和阿里云全站加速有什么差别? Linux服务器提示MaxKeepAliveRequests设置不当

问题状态

最新活动:2018-11-19 16:57

浏览:1231

关注:2

Copyright © 2008-2025 CMSYOU - 互助问答社区 - 粤ICP备10060801号-3   rss feed RSS Feed
欢迎加入QQ群(346494585)Phpcms V9企业模版交流 CMS定制咨询“让我们一起来学习CMS建站吧!”