解决阿里云盾wordpress
大挖的阿里云云盾监测到 WordPress 任意文件删除漏洞,攻击者可利用该漏洞进行任意文件删除攻击。并出现以上提示内容:
wordpress <= 4.9.6 任意文件删除漏洞,近日RIPS曝出wordpress直至 4.9.6的版本依然存在一个任意文件删除漏洞,拥有author及类似权限的wordpress站点受到此漏洞威胁,攻击者可通过构造附件的'thumb'路径造成任意文件删除。严重的后果将导致攻击者获取站点管理员权限进而控制服务器。
任意文件删除漏洞原理与危害
该漏洞出现的原因是由于在WordPress的wp-includes/post.php文件中wp_delete_attachement()函数在接收删除文件参数时未进行安全处理,直接进行执行导致。
任意文件删除漏洞漏洞修复建议
首先,大家要先将wordpress升级到最新版本,然后将下面的代码加载到当前主题的function.php中进行弥补:
123456add_filter('wp_update_attachment_metadata', function ($data){if(isset($data['thumb'])){$data['thumb'] = basename($data['thumb']);}return $data;});上一篇:常用的360搜索好搜代码/百度搜索代码/淘宝搜索代码/
Wcat.exe是什么文件?Wcat.exe是不是病毒
wd2_051117_WIS207_mini.exe是什么文件?wd2_051117_WIS207_mini
winupd32.exe是什么文件?winupd32.exe是不是病毒
wc98pp.dll是什么文件?wc98pp.dll是不是病毒
wdm.exe是什么文件?wdm.exe是不是病毒
wget.exe是什么文件?wget.exe是不是病毒
wfwall1.exe是什么文件?wfwall1.exe是不是病毒
wincon.exe是什么文件?wincon.exe是不是病毒
winampb.exe是什么文件?winampb.exe是不是病毒
WatchClient.exe是什么文件?WatchClient.exe是不是病毒