阿里云服务器报“wordpress IP验证不当”漏洞的解决办法
阿里云給出的漏洞說明
今天登陸阿里云服務器控制臺,提示網站存在漏洞,等級為“需盡快修復”。對于我這種強迫癥的人來說,這樣的提醒當然是越早消滅掉越好。下面是阿里給出的“wordpress IP驗證不當漏洞”說明:
wordpress IP驗證不當漏洞需盡快修復基本信息標題:wordpress IP驗證不當漏洞披露時間:?1970-01-01 08:00:00簡介:wordpress /wp-includes/http.php文件中的wp_http_validate_url函數對輸入IP驗證不當,導致黑客可構造類似于012.10.10.10這樣的畸形IP繞過驗證,進行SSRF。
解決方案:方案一:使用云盾自研補丁進行一鍵修復;
方案二:更新該軟件到官方最新版本或尋求該軟件提供商的幫助。【注意:該補丁為云盾自研代碼修復方案,云盾會根據您當前代碼是否符合云盾自研的修復模式進行檢測,如果您自行采取了底層/框架統一修復、或者使用了其他的修復方案,可能會導致您雖然已經修復了該漏洞,云盾依然報告存在漏洞,遇到該情況可選擇忽略該漏洞提示】
如何修復
1、在路徑:/data/wwwroot/www.domain.com/wp-includes/http.php找到http.php文件,用Notepad++打開(修改之前記得先備份http.php原文件),大概在533行(我的WP版本是4.9.8,不同的WordPress版本可能行數不同,你可以查找關鍵詞進行查找):
$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );
/*修改為*/
$same_host = ( strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ) || 'localhost' == strtolower($parsed_url['host']));
2、在http.php文件的549行:
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]
/*修改為:*/
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]
漏洞修復完成
修改完以上內容,然后再到阿里云盾控制臺重新驗證一下漏洞,就會發現漏洞已經不存在了。
漏洞修復完成 轉自:https://baijiahao.baidu.com/s?id=1597162452898961811&wfr=spider&for=pc總結
以上是生活随笔為你收集整理的阿里云服务器报“wordpress IP验证不当”漏洞的解决办法的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 阿里巴巴开源前端工具 ice飞冰简易教程
- 下一篇: 企业建站系统Metinfo <=6.1.