阿里云最近一直提示网站存在WordPress IP验证不当漏洞,虽然提示了云盾可以解决,但那价格,真不是咱老百姓能承受的起的,所以还是自食其力,自己改吧。
阿里云云盾态势感知对WordPress IP验证不当漏洞的描述:
wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。
1、首先将WordPress升级到最新版本,打开/wp-includes/http.php文件,在532行左右找到:
- if ( isset( $parsed_home['host'] ) ) {
- $same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );
- } else {
- $same_host = false;
- }
将其修改为:
- if (isset($parsed_home['host'])) {
- $same_host = (strtolower($parsed_home['host']) === strtolower($parsed_url['host']) || 'localhost' === strtolower($parsed_url['host']));
- } else {
- $same_host = false;
- };
2、在文件大约549行左右找到:
- if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]
将其修改为:
- if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]
2019 年 03 月 08 日 17:25 湖北省武汉市 4F
5.0.3版本用这个方法改了还是出现问题
2018 年 11 月 24 日 09:30 河南省 3F
这么久还在坚持更新,并且有模有样的你算一个,加油
2018 年 11 月 12 日 20:00 开曼群岛 2F
这个问题困扰我好久了啊
2018 年 09 月 11 日 22:46 广东省东莞市 1F
WordPress的漏洞还是层出不穷