WordPress暴露绝对路径漏洞修复

作者:LuckyMoke 时间:2015-05-28

漏洞类型:

网站绝对路径泄露

漏洞文件:

1、/wp-includes/registration-functions.php
2、/wp-includes/user.php
3、/wp-admin/admin-functions.php
4、/wp-admin/upgrade-functions.php

以上是用360漏洞监测出来的漏洞,经过一个小时的测试,发现任何版本的wordpress都存在这个漏洞(算是通杀漏洞了),只要直接访问以上文件或者访问当前wordpress网站的主题目录都会爆出网站的绝对路径,虽然爆路径的利用价值不大但是但是如果你某些页面存在注入的话,可以直接通过绝对路径上传任意文件。

解决方法一:

在以上文件的的头部 <?php 后加入:

error_reporting(0);

解决方法二:

找到/wp-includes/registration-functions.php文件将代码:

<?php
/**
 * Deprecated. No longer needed.
 *
 * @package WordPress
 */
_deprecated_file( basename(__FILE__), '2.1', null, __( 'This file no longer needs to be included.' ) );

改成:

<?php
/**
* Deprecated. No longer needed.
*
* @package WordPress
*/
@_deprecated_file( basename(__FILE__), ’2.1′, null, __( 'This file no longer needs to be included.' ) );

解决方法三:

直接修改php.ini屏蔽php报错。

Tips

GitHubLuckyMoke

Weibokeailvyou

QQ839488083

米拓交流群

模板有不完善的地方欢迎指正!

1511438794807394.jpg