WordPress IP验证不当漏洞修复
睿达科网络提供:兰州网站建设/兰州网站制作/兰州网站设计/微信开发/SEO/代运营等服务…… 浏览更多产品服务
漏洞简介
wordpress核心程序 /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。
WordPress IP验证不当漏洞修复解决方案
方案一:手动修复http.php文件;
在网站核心程序目录中找到wp-includes/http.php文件,编辑http.php文件。
查找(在文件533行附近)
$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );替换成
if ( isset( $parsed_home['host'] ) ) { $same_host = ( strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ) || 'localhost' === strtolower( $parsed_url['host'] ) ); } else { $same_host = false; };查找
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]替换成
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]如果发现上面这行代码跟源文件中的一样,则不用修改了,最新版 WordPress 已经是这样的代码了。
最后保存上传覆盖该文件即可。
方案二:阿里云云盾企业版代码修复方案;
阿里云云盾企业版可使用阿里云自研的补丁程序进行修复,但建议根据自己网站情况做细致检查。
版权属于:睿达科网络 »《WordPress IP验证不当漏洞修复》
原文链接:https://www.radartek.com/wordpress-ip-yanzhengbudang-loudongxiufu.html
本文采用 「CC BY-NC-SA 4.0」创作共享协议,转载时必须以链接形式注明原始出处及本声明。
如果喜欢本站文章,欢迎点此扫描二维码,关注睿达科网络微信公众服务号
推荐的文章
WordPress优化之处理部分WordPress核心代码或功能,让你的网站更快
2016年4月4日
Bewho
技术营销顾问
“HI~感谢关注睿达科网络
如果您想要更多专业指导或深入合作,
可添加我的微信。”
睿达科网络-微信公众服务号
扫描二维码即刻联系我们
QQ二维码名片 
微信二维码 marketing@radartek.com
