蜗牛789
主机分享与测评

WordPress删除任意文件/执行任意代码安全漏洞临时修复方法

提示:如果官网是英文页面,建议使用谷歌浏览器能同步翻译页面。点击下载【谷歌浏览器最新绿色便携版】
注意:部分文章发布时间较长,可能存在未知因素,购买时建议现在本博客搜索商家名称,先充分了解商家动态。
交流:唯一投稿QQ768187171、唯一投稿邮箱768187171@qq.com、网友交流QQ群号218293922。
推荐:Telegram频道(博文同步推送,部分低价、少量促销信息仅在此频道推送!推荐订阅):https://t.me/wn789
文章目录

近期国内知名WordPress博客发布了一篇题为“WordPress安全漏洞:从任意文件删除到任意代码执行”文章引起了蜗牛的关注,对于此漏洞,当前所以的WordPress博客用户都要引起注意,因为不修复漏洞你的站点就有可能被黑客进行删除任意文件操作,甚至存在执行任意代码的风险,数据安全没有任何保障,甚至还会威胁到服务器安全。

WordPress中删除任意文件、执行任意代码的安全漏洞早在2017年11月前就被国外网友发现,并及时向官方安全团队报告该漏洞,当时也得到了WordPress官方安全团队的确认,但直到现在WordPress官方一直没有发布修复补丁,所以当前包括最新4.9.6版本在内所有WordPress用户都有可能因此漏洞遭到黑客的攻击。在这样的前提下,一名名叫@Karim El Ouerghemmi网友在自己的博客发布了一篇关于漏洞的博文,详细对漏洞做了讲解,同时也给出了简单的修复方案。

关于漏洞的详细说明蜗牛就不过多介绍了,介绍得多了反而给别有用心的人提供了帮助,如果自己实在需要查看,那么自行找资料查看吧。其实安全漏洞不爆出来还好,知道的人群较少,然后一旦爆料出来,四处传播,不及时补上修复补丁的话,问题就严重了。所以所有WordPress用户尽快打上修复补丁吧,因为一旦被黑客利用,删除你的站点文件,如果你正好也没有备份,那么损失是可想而知的。

临时修复方法

作者@Karim El Ouerghemmi发布的修复方案很简单,在主题文件functions.php中添加下面一段代码来实现。代码原理是“钩住”wp_update_attachement_metadata()的调用,对thumb数据进行安全过滤,从而达到漏洞无法被黑客利用的目的。

add_filter( 'wp_update_attachment_metadata', 'rips_unlink_tempfix' );

function rips_unlink_tempfix( $data ) {
if( isset($data['thumb']) ) {
$data['thumb'] = basename($data['thumb']);
}

return $data;
}

同时作者还说以上补丁是临时性补丁,主要是为了修复安全漏洞,并不确保补丁兼容WordPress插件,所以大家还是谨慎使用吧,如果添加代码就出现问题,那就果断删除代码吧。

About 蜗牛

【声明】:蜗牛789站内所有资源均来自网络,由于网络资源安全性未知,使用前请自行甄别。蜗牛从不强制任何人使用或购买本站介绍的资源,如因自愿选择使用造成的损失自行承担!本博客若无意侵犯到您的权利,请及时与我们联系,我们将在48小时内删除侵权内容!参与评论互动的网友请填写真实的邮箱及昵称,如果昵称很明显的是随意输入、不填写正确邮箱,本博客将视为垃圾评论处理。

赞(0) 打赏
未经允许不得转载:蜗牛789 » WordPress删除任意文件/执行任意代码安全漏洞临时修复方法

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏