wordpress防黑教程之预防全版本通杀爆绝对路径漏洞,漏洞类型:网站绝对路径泄露
漏洞文件:
1、/wp-includes/registration-functions.php
2、/wp-includes/user.php
3、/wp-admin/admin-functions.php
4、/wp-admin/upgrade-functions.php
5、/wp-content/themes/主题名称/index.php
经梦飞扬测试,发现任何版本的WordPress都存在这个漏洞(算是通杀漏洞了),只要直接访问以上文件或者访问当前WordPress网站的主题目录都会爆出网站的绝对路径,就连WordPress官方的主题twentytwelve也不例外。虽然爆路径的利用价值不大但是但是如果你某些页面存在注入的话,可以直接通过绝对路径上传任意文件,相当于把菊花暴露给XX爱好者一个性质。。后果不堪设想啊。
解决方法一、在以上文件的的头部 <?php 后加入:
error_reporting(0);
解决方法二、找到/wp-includes/registration-functions.php文件将代码:
<?php /** * Deprecated. No longer needed. * * @package WordPress */ _deprecated_file( basename(__FILE__), '2.1', null, __( 'This file no longer needs to be included.' ) );
将其替换成:
<?php /** * Deprecated. No longer needed. * * @package WordPress */ @_deprecated_file( basename(__FILE__), ’2.1′, null, __( ’This file no longer needs to be included.’ ) );
解决方法三、直接修改php.ini屏蔽php报错。