阿里云服务器wordpress IP验证不当漏洞修复

登陆阿里云后台发来一个消息,说是服务器有个“wordpress IP验证不当”的漏洞,会导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。什么鬼,看的我是一脸懵逼。

不过阿里云提供云盾骑士的一键修复功能,点一下自动帮你修复好,贴心不贴心?但是TM的要钱啊,像我这种穷逼怎么舍得花钱。还是求助一下万能的度娘吧。

解决方法倒是挺简单的,找到目录文件wordpress /wp-includes/http.php,修改两处代码就可以了。
可是登陆了服务器后台面板,进入wp-includes文件夹找了半天,就是没找到一个http.php的文件,搞的我一度怀疑是不是最新的wordpress5.0版本把这文件给改没了。

没办法又去百度了,终于找到一个和我一样逗比半天找不到http.php文件的人了,不过这哥们最后还是解决了问题,原来是wp-includes文件夹下面的文件太多,而服务器控制面板中的文件排列并没有按照字母排序,导致http.php文件实际是在第二页,需要翻页查找一下。尼玛,原来就这么简单的问题,折腾了半天。都怪我半天没注意到还有一个分页的按钮,睁着眼睛在第一页白瞅了半天。

文件找到之后就比较简单了,下载下来,修改下面两处代码后上传就可以了。

查找
$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );

替换成

if ( isset( $parsed_home['host'] ) ) { $same_host = ( strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ) || 'localhost' === strtolower( $parsed_url['host'] ) ); } else { $same_host = false; };

查找

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]

改成

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]

虽然费了点时间,不过还是觉得云盾骑士修复这么个小漏洞也要收钱,有点坑啊。以后能自己动手还是尽量别BB,度娘一下你就知道!

声明:本文为原创,作者为 多多,转载时请保留本声明及附带文章链接:https://www.ddwzh.com/jzhjl/145.html