首页 > wordpress建站 > 解决阿里云盾wordpress <= 4.9.6 任意文件删除漏洞
摘要:大挖的阿里云云盾监测到 WordPress 任意文件删除漏洞,攻击者可利用该漏洞进行任意文件删除攻击。并出现以上提示内容...

大挖的阿里云云盾监测到 WordPress 任意文件删除漏洞,攻击者可利用该漏洞进行任意文件删除攻击。并出现以上提示内容:
wordpress <= 4.9.6 任意文件删除漏洞,近日RIPS曝出wordpress直至 4.9.6的版本依然存在一个任意文件删除漏洞,拥有author及类似权限的wordpress站点受到此漏洞威胁,攻击者可通过构造附件的'thumb'路径造成任意文件删除。严重的后果将导致攻击者获取站点管理员权限进而控制服务器。

任意文件删除漏洞原理与危害

该漏洞出现的原因是由于在WordPress的wp-includes/post.php文件中wp_delete_attachement()函数在接收删除文件参数时未进行安全处理,直接进行执行导致。

任意文件删除漏洞漏洞修复建议

首先,大家要先将wordpress升级到最新版本,然后将下面的代码加载到当前主题的function.php中进行弥补:

分享到:
赞(0) 打赏

作者: 大挖酱

挖主题团队自2014年开始专注于WordPress企业主题设计开发,致力于为更多用户打造出更漂亮、更易用、更专业的网站。距今已累计开发近50款WP主题,付费客户超过5千人。挖主题,是您可以长期信赖的合作伙伴。

82 queries in 0.751 seconds

联系作者Q: 8413708 WX: zdmin7

支付宝扫一扫

微信扫一扫