• 欢迎访问奇跡の海网站,本站不上传任何资源,所有资源均来自于网络,欢迎加入奇跡の海~!奇跡の海-WordPress QQ群
  • 本站下载资源为网络上收集整理而来,并且以计算机技术研究交流为目的,版权归原作者所有,仅供大家参考,学习,不存在任何商业目的与商业用途.
  • 本站系统镜像均来自于官方原版,ed2k可视为P2P下载链接。所有操作系统默认均为试用版,如有正版密钥可以有效激活,本站不提供任何激活和相关服务。

WordPress博客出现的绝对路径泄露漏洞及修复方法(3种)

服务器 奇跡の海 2年前 (2017-05-10) 520次浏览 已收录 0个评论 扫描二维码

某天用360的漏洞检测,总共用了56分钟才检测完。
检测结果如图:

WordPress博客出现的绝对路径泄露漏洞及修复方法(3种)
漏洞修复

漏洞文件:(根据报警信息,修改这些文件,并不是每个人都一样)

1、/wp-includes/registration-functions.php
2、/wp-admin/admin-functions.php

修复方法一:在以上文件的的头部 error_reporting(0);
见:http://www.seaomc.com/2104.html
修复方法二:找到

/wp-includes/registration-functions.php

文件将代码

/**
* Deprecated. No longer needed.
*
* @package WordPress
*/
_deprecated_file( basename(__FILE__), ‘2.1’, null, __( ‘This file no longer needs to be included.’ ) );

全部改成:

* Deprecated. No longer needed.
*
* @package WordPress
*/
@_deprecated_file( basename(__FILE__), ’2.1′, null, __( ’This file no longer needs to be included.’ ) );

修复方法三:进入PHP.INI禁用PHP报错。

php的错误回显为代码调试提供了诸多方便,可以让我们快速找到错误所在,不过有时候,显示错误信息会使一些敏感信息暴露出来,对程序安全造成负面影响,为此,通过php.ini配置文件,我们可以在不调试程序的时候将其关闭,方法如下:

打开PHP.ini,找到display_errors,将后面的值改为off,同时设置error_reporting为E_ALL。如下所示:

  display_errors = Off
  error_reporting = E_ALL
  

如下也可以:

  display_errors = Off
  error_reporting = E_ALL & ~E_NOTICE
 

注意:如果设置display_errors = Off不起效的话,请将log_errors设置为Off。根据PHP官方资料,当log_errors设置为On时,就必须指定error_log文件,如果未指定或者指定的文件无写权限,那么同样会使display_errors=Off失效,错误信息还是会被显示出来,所以说,将log_errors = Off,问题就彻底解决了。


版权声明:本站所有文章和资源使用CC BY-NC-SA 4.0协议授权发布 , 转载应当以相同方式注明文章来自“SeaOMC.COM->WordPress博客出现的绝对路径泄露漏洞及修复方法(3种)!在下边可以分享本文哦!
喜欢 (0)
[]
分享 (0)
奇跡の海
关于作者:
一个WordPress菜鸟!
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址