f
wordpress页面异常导致本地路径泄漏漏洞修复办法
wordpress页面异常导致本地路径泄漏漏洞修复办法
二呆 7年前 (2017-09-10) wordpress维护  #wordpress# 
浏览:4412

引言:此文由子域名转移而来,因为细微强迫症和放弃子域名而不舍得完全丢弃,所以将会逐步第二次转移文章到主域名上来,二者主题(阿里白秀和D8)均来自大前端,追求完美的同时有一丝小懒,主题就不换了,D8主题用起来挺好。

又是由于wordpress升级到4.0之后产生的问题,360安全监测突然89分了,随后找到原因,发现是因为页面异常导致本地路径泄漏的漏洞,然后360给的解决办法是如下情况:

1.修改php.ini中的配置行: display_errors = off
2.修改httpd.conf/apache2.conf中的配置行: php_flag display_errors off
3.修改php脚本,增加代码行: ini_set('display_errors', false);

我先试了前两种办法,发现之前我已经修改过php.ini和httpd.conf文件了,失败告终。而且针对一般使用虚拟主机的站长而言,修改不了配置文件,只能用第三种方法。

就是在以上360所提示的有问题文件(一般目录就是index.php,文件是问题文件)的最顶端加入以下代码即可:

  1. ini_set('display_errors', false);

如果你也遇到了install.php漏洞导致本地路径泄露,可以直接改名或删除即可。

另外,如果想阻止黑客或攻击者直接访问问题页面/文件,可以在有问题文件的最顶端加入以下代码即可:

  1. if ( !defined( 'ABSPATH' ) ){
  2.     header( 'HTTP/1.1 403 Forbidden', true, 403 );
  3.     die ('Please do not load this page directly. Thanks!');
  4. }

现在,这个麻烦就解决了~

推荐阅读
  • 以下仅供学习使用以及纪念之用,已过时,将不再继续鼓捣,请知悉。因能力有限,将它们弄出来后修改时都得调试半天,日后随缘上香。任何事物的成长都需要沉淀,不然就会成以下这些一样的结果。继续在另一个条漫长的转型不归路上走着…走着……以下仍然可以站内搜索相关简介:001、DNSP...
  • 插件截图:插件简介:TleUCenterForWordpress是一个用户中心插件,放置于前台网页的左下角,供用户登陆/管理只用,使用邮箱验证码登陆,登陆之后在使用TleWeiboForWordPressV2.0微博主题的情况下,可以显示微博列表、文章列表、评论列表,也可...
  • 插件截图:插件介绍:TleLiveCtrlForWordpress是一个基于Kplayer的直播遥控器插件,也可以叫做KplayerForWordPress插件,支持多平台直播推流,进行积分点播、查询、跳过等功能,支持Payjs微信、支付宝支付,是一个可以24小时直播推流的...
  • 主题截图:主题简介:一款Wordpress版本的TleWeiboForWordPress电脑/手机版微博主题使用方法:将本主题里的所有文件放在您网站目录的wp-content/themes内,注意文件夹名字必须为TleWeibo或TleWeiboWap。...
  • 插件简介:即时聊天插件为WordPress站长及用户提供即时聊天功能,前台环信即时聊天需要配合个人中心插件,暂不支持手机端。在支持手机端的路上,因为万恶的360网站卫士最近访问困难,导致停留了N久,最后啥也没动,就升级至V1.0.10了,不过仅仅支持了简单的手机端版本。使...

o p
Ú
>