关于解决“wordpress IP验证不当漏洞”方法

前言


前几天我家的那个业务网站终于备案通过了,那几天等得我是分外焦灼。因为之前用的是阿里云香港的虚拟主机,所以也没太在意这个。(其实我记得当时就已经提交过备案的,而且还通过了...)然后现在是打算把网站搬到云服务器上来,在什么都弄好后才发现没备案,还好提交的时候虚拟机还有几天过期,但最终还是停了一天。

网站再云服务器上上线后,阿里云安全中心就报警,有个漏洞。

20190721002415.png

之前我的上一个版本的博客就是由强大的Wordpress驱动的。当时阿里云安全中心也有报警,but我没理...

因为当时也没想好是不是要认真的维护这个博客,服务器当时买来也是玩玩。然后后来服务器就炸了,也不知道是不是这个的原因。

这次就不同了。先别说这个服务器挂了多少个网站,存了多少东西,单凭我的博客在这里,我就得把这个漏洞处理掉。万一过一段时间服务器又不知道怎么的炸了,我就有得哭

接到阿里云的通知后,我就去百度了一下wordpress IP验证不当漏洞,对比一几个比较信任的网站给出的方案,发现都一样,也不知道是只有这一种方案还是一个方案copy来copy去的。

实操过程


cd wp-includes #切换到wp-includes目录下
cp http.php http.php_backup  #备份http.php,以防不测
vi http.php

通过键入?$same_host = strtolower来查找(注意等号前后有空格)

20190721154304.png

然后将

$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );

替换为

$same_host = ( strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ) || 'localhost' === strtolower( $parsed_url['host'] ) );

20190721154838.png

然后再将

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]

这行,替换为

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]

20190721155422.png

保存后回到云安全中心那里验证一下就通过了

20190721155710.png

后言

等我后台修改完后回到云安全中心,系统提示我免费体验企业级7天

20190721003413.png
20190721160326.png

真的是非要等我修复好了才让我体验...

为了体现出价值,我把刚刚改好的http.php删了,把备份的弄回来,看看云安全中心是怎么修复的

Last modification:July 23rd, 2019 at 02:01 pm
如果觉得我的文章对你有帮助,可以请我喝咖啡

3 comments

  1. 桑先生

    在我看来就是哄小白骗钱的东西

    1. Jockie
      @桑先生

      收的都是智商税。

  2. Jockie

    刚刚看了看,云安全中心修复也是通过修改http.php来处理漏洞

Leave a Comment

,