阿里云服务器报“wordpress IP验证不当漏洞”的解决办法

今天上午一打开电脑,照常巡视检查一篇自己的小站,发现服务器出现了个漏洞,马上点进去看,是”wordpress IP验证不当漏洞”

然后就点开研究了下

wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。

解决方案:方案一:使用云盾自研补丁进行一键修复;

方案二:更新该软件到官方最新版本或寻求该软件提供商的帮助。

注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】

像我这么帅的人,怎么可能用你的云顿去修复了,所以我选择了手动。

按照他的提示先在根目录中找到这个wp-includes/http.php文件,然后编辑他http.php

用Notepad++或者HBuilder或者你用的顺手的软件打开他(修改之前记得先备份http.php原文件

找到如下代码:

$same_host = strtolower( $parsed_home[‘host’] ) === strtolower( $parsed_url[‘host’] );

大概在533行(不同的WordPress版本可能行数不同,你可以查找关键词进行查找)

修改成如下:

$same_host = ( strtolower( $parsed_home[‘host’] ) === strtolower( $parsed_url[‘host’] ) || ‘localhost’ == strtolower($parsed_url[‘host’]));

 

找到如下代码:

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]

修改成如下:

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]

 

漏洞修复完成

修改完后保存,然后在去阿里云盾控制台重新验证一下漏洞,就会发现漏洞已经不存在了,搞定修复完成。

 

疯子龍

当你步履蹒跚,我还是会把你宠得像小孩。 哪怕你容颜不再,我依旧觉得你是最好看的。 哪怕岁月冲淡了所有激情,一路吵吵闹闹纷争不断,我依然还是那个只会傻傻对你好的少年。

相关推荐

暂无评论

微信扫一扫

微信扫一扫

微信扫一扫,分享到朋友圈

阿里云服务器报“wordpress IP验证不当漏洞”的解决办法