WordPress漏洞类型:网站绝对路径泄露
WordPress全版本漏洞文件
1、/wp-includes/registration-functions.php
2、/wp-includes/user.php
3、/wp-admin/admin-functions.php
4、/wp-admin/upgrade-functions.php
5、/wp-content/themes/你的主题名称/index.php
经梦飞扬测试,发现任何版本的WordPress都存在这个漏洞(算是通杀漏洞了),只要直接访问以上文件或者访问当前WordPress网站的主题目录都会爆出网站的绝对路径,就连WordPress官方的主题twentytwelve也不例外。虽然爆路径的利用价值不大但是但是如果你某些页面存在注入的话,可以直接通过绝对路径上传任意文件,相当于把菊花暴露给XX爱好者一个性质。。后果不堪设想啊。
解决方法一:在以上文件的的头部 <?php 后加入:
error_reporting(0);
解决方法二:找到/wp-includes/registration-functions.php文件将代码:
<?php /** * Deprecated. No longer needed. * * @package WordPress */ _deprecated_file( basename(__FILE__), '2.1', null, __( 'This file no longer needs to be included.' ) );
改成:
<?php /** * Deprecated. No longer needed. * * @package WordPress */ @_deprecated_file( basename(__FILE__), ’2.1′, null, __( ’This file no longer needs to be included.’ ) );
解决方法三:直接修改php.ini屏蔽php报错,可参考《配置php.ini文件让你的PHP环境更安全》一文。