f
wordpress页面异常导致本地路径泄漏漏洞修复办法
wordpress页面异常导致本地路径泄漏漏洞修复办法
二呆 4年前 (2017-09-10) wordpress维护  #wordpress# 
浏览:2580

引言:此文由子域名转移而来,因为细微强迫症和放弃子域名而不舍得完全丢弃,所以将会逐步第二次转移文章到主域名上来,二者主题(阿里白秀和D8)均来自大前端,追求完美的同时有一丝小懒,主题就不换了,D8主题用起来挺好。

又是由于wordpress升级到4.0之后产生的问题,360安全监测突然89分了,随后找到原因,发现是因为页面异常导致本地路径泄漏的漏洞,然后360给的解决办法是如下情况:

1.修改php.ini中的配置行: display_errors = off
2.修改httpd.conf/apache2.conf中的配置行: php_flag display_errors off
3.修改php脚本,增加代码行: ini_set('display_errors', false);

我先试了前两种办法,发现之前我已经修改过php.ini和httpd.conf文件了,失败告终。而且针对一般使用虚拟主机的站长而言,修改不了配置文件,只能用第三种方法。

就是在以上360所提示的有问题文件(一般目录就是index.php,文件是问题文件)的最顶端加入以下代码即可:

  1. ini_set('display_errors', false);

如果你也遇到了install.php漏洞导致本地路径泄露,可以直接改名或删除即可。

另外,如果想阻止黑客或攻击者直接访问问题页面/文件,可以在有问题文件的最顶端加入以下代码即可:

  1. if ( !defined( 'ABSPATH' ) ){
  2.     header( 'HTTP/1.1 403 Forbidden', true, 403 );
  3.     die ('Please do not load this page directly. Thanks!');
  4. }

现在,这个麻烦就解决了~

推荐阅读
  • 插件截图:插件简介:TleUCenterForWordpress是一个用户中心插件,放置于前台网页的左下角,供用户登陆/管理只用,使用邮箱验证码登陆,登陆之后在使用TleWeiboForWordPressV2.0微博主题的情况下,可以显示微博列表、文章列表、评论列表,也可...
  • 插件截图:插件介绍:TleLiveCtrlForWordpress是一个基于Kplayer的直播遥控器插件,也可以叫做KplayerForWordPress插件,支持多平台直播推流,进行积分点播、查询、跳过等功能,支持Payjs微信、支付宝支付,是一个可以24小时直播推流的...
  • 主题截图:主题简介:一款Wordpress版本的TleWeiboForWordPress电脑/手机版微博主题使用方法:将本主题里的所有文件放在您网站目录的wp-content/themes内,注意文件夹名字必须为TleWeibo或TleWeiboWap。此处内容已经...
  • 插件简介:即时聊天插件为WordPress站长及用户提供即时聊天功能,前台环信即时聊天需要配合个人中心插件,暂不支持手机端。在支持手机端的路上,因为万恶的360网站卫士最近访问困难,导致停留了N久,最后啥也没动,就升级至V1.0.10了,不过仅仅支持了简单的手机端版本。使...
  • 插件介绍:本插件可以隐藏文章中的任意部分内容,当访客付费后,可查看隐藏内容,当前版本支持payjs微信支付。安装方法:第一步:下载本插件,放在 wp-content/plugins/ 目录中(插件文件夹名必须为WeMedia);第二步:激活插件;第三步:填写配置;第四...

o p
Ú