阿里云服务器报“wordpress IP验证不当”漏洞的解决办法
阿里云給出的漏洞說明
今天登陸阿里云服務(wù)器控制臺,提示網(wǎng)站存在漏洞,等級為“需盡快修復(fù)”。對于我這種強迫癥的人來說,這樣的提醒當(dāng)然是越早消滅掉越好。下面是阿里給出的“wordpress IP驗證不當(dāng)漏洞”說明:
wordpress IP驗證不當(dāng)漏洞需盡快修復(fù)基本信息標(biāo)題:wordpress IP驗證不當(dāng)漏洞披露時間:?1970-01-01 08:00:00簡介:wordpress /wp-includes/http.php文件中的wp_http_validate_url函數(shù)對輸入IP驗證不當(dāng),導(dǎo)致黑客可構(gòu)造類似于012.10.10.10這樣的畸形IP繞過驗證,進行SSRF。
解決方案:方案一:使用云盾自研補丁進行一鍵修復(fù);
方案二:更新該軟件到官方最新版本或?qū)で笤撥浖峁┥痰膸椭!咀⒁猓涸撗a丁為云盾自研代碼修復(fù)方案,云盾會根據(jù)您當(dāng)前代碼是否符合云盾自研的修復(fù)模式進行檢測,如果您自行采取了底層/框架統(tǒng)一修復(fù)、或者使用了其他的修復(fù)方案,可能會導(dǎo)致您雖然已經(jīng)修復(fù)了該漏洞,云盾依然報告存在漏洞,遇到該情況可選擇忽略該漏洞提示】
如何修復(fù)
1、在路徑:/data/wwwroot/www.domain.com/wp-includes/http.php找到http.php文件,用Notepad++打開(修改之前記得先備份http.php原文件),大概在533行(我的WP版本是4.9.8,不同的WordPress版本可能行數(shù)不同,你可以查找關(guān)鍵詞進行查找):
$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );
/*修改為*/
$same_host = ( strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ) || 'localhost' == strtolower($parsed_url['host']));
2、在http.php文件的549行:
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]
/*修改為:*/
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]
漏洞修復(fù)完成
修改完以上內(nèi)容,然后再到阿里云盾控制臺重新驗證一下漏洞,就會發(fā)現(xiàn)漏洞已經(jīng)不存在了。
漏洞修復(fù)完成 轉(zhuǎn)自:https://baijiahao.baidu.com/s?id=1597162452898961811&wfr=spider&for=pc總結(jié)
以上是生活随笔為你收集整理的阿里云服务器报“wordpress IP验证不当”漏洞的解决办法的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 阿里巴巴开源前端工具 ice飞冰简易教程
- 下一篇: 企业建站系统Metinfo <=6.1.