可愛又雄壯的wordpress更新可以說是吃了猛藥的，無憂主機(jī)小編為什么要這么說呢？是因?yàn)檫@段時(shí)間確實(shí)遇到了太多的wordpress被掛馬了，被各種破壞的都有，但是無憂主機(jī)小編用wordpress在php空間搭建已經(jīng)運(yùn)行了這么久了始終是沒有發(fā)現(xiàn)被掛馬，但是漏洞還是需要解決的，但是wordpress每次更新幾乎都是做的這些事情，可是有一個(gè)事情是被他們給忽略了，那就是IP驗(yàn)證不當(dāng)漏洞，也就是說wordpress /wp-includes/http.php文件中的wp_http_validate_url函數(shù)對(duì)輸入IP驗(yàn)證不當(dāng)，導(dǎo)致黑客可構(gòu)造類似于012.10.10.10這樣的畸形IP繞過驗(yàn)證，進(jìn)行SSRF，所以接下來就看看無憂主機(jī)小編的講解吧。 通過最近的新版本的wordpress4.6版本的是解決了這個(gè)一下部分，根據(jù)論壇中討論的呢，他只解決了$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );的問題，而并沒有把最后一步驟完善，所以無憂主機(jī)小編不等他們發(fā)布新版本了就自主的修復(fù)一下吧。 首先是進(jìn)入到我們的會(huì)員中心--主機(jī)管理--控制面板--文件管理，點(diǎn)擊進(jìn)入public_html，然后找到/wp-includes/http.php文件，如圖1所示： 然后點(diǎn)擊編輯找到如下代碼：

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]

本文地址：http://m.gle-technology.com/wordpress/26233.html