现在的位置: 首页 > wordpress > 正文

wordpress3.5应用漏洞及解决方法

2013年01月18日 wordpress ⁄ 共 896字 ⁄ 字号 评论 1 条 ⁄ 阅读 445 views 次

今天使用scanv网址检查中心检查了下已经升级到wordpress 3.5的几个网站,发现有应用漏洞问题及XSS 跨站脚本漏洞问题

WordPress是一款非常流行的使用PHP开发的博客平台。其3.4.1及之前版本中的多个文件存在绝对路径泄露漏洞。
受影响的文件包括:

wp-includes/registration-functions.php
wp-admin/admin-functions.php
wp-admin/upgrade-functions.php
wp-includes/class-snoopy.php
wp-includes/registration.php
wp-includes/rss-functions.php
wp-includes/rss.php
wp-includes/theme-compat/comments-popup.php
wp-includes/theme-compat/comments.php
wp-includes/theme-compat/footer.php
wp-includes/theme-compat/header.php
wp-includes/theme-compat/sidebar.php

攻击者利用该漏洞,可以获得目标网站的绝对路径,为进一步深入攻击搜集信息。

漏洞修复方法:

1、php.ini中关闭报错模式:在php.ini中设置display_error=Off。

2、在以上受影响文件开始处加入如下代码:

if ( !defined( 'ABSPATH' ) ){ header( 'HTTP/1.1 403 Forbidden', true, 403 );die ('Please do not load this page directly. Thanks!');}

3、可以阻止攻击者直接访问受影响文件。请访问其官方网站,下载WordPress的最新版本:http://wordpress.org。

4、加速乐已经可以防御该漏洞。请使用加速乐(http://www.jiasule.com),一键防御,让网站更快更安全
XSS 跨站脚本漏洞问题还没有解决,正在折腾中,折腾好后与大家分享!

如果你认为这篇文章对您有所帮助的话,请点击左侧百度分享按钮收藏或分享给朋友吧!



目前有 1 条留言    访客:1 条, 博主:0 条

  1. 润初颜 2013年01月21日 上午 9:24  @回复  Δ-49楼 回复

    抢个沙发先,嘻嘻!

给我留言

留言无头像?


客服电话15252185118
联系站长
点击这里给我发消息
×