如何修复wordpress4.0跨站脚本执行漏洞
WordPress是著名的开源CMS(内容管理)系统。近日,在4.0版本以下的Wordpress被发现存在跨站脚本漏洞(XSS),新版本的Wordpress已经修复了这些问题。为了安全起见,建议站长们尽早更新到WP新版本。 该漏洞是由芬兰IT公司Klikki Oy的CEO Jouko Pynnonen发现的,只存在于Wordpress4.0以下的版本中。据调查得知全球有86%的Wordpress网站都感染了这一漏洞,也就意味着全球数百万的网站都存在着潜在的危险。一些知名网站也使用了Wordpress软件,如Time、UPS、NBC Sports、CNN、Techcrunch 和FreeBuf:) 漏洞概述 WordPress中存在一系列的跨站脚本漏洞,攻击者利用跨站脚本伪造请求以欺骗用户更改登录密码,或者盗取管理员权限。 如Jouko Pynnonen解释道: 当博客管理员查看评论时,评论中的漏洞代码会自动在其Web浏览器上运行。然后恶意代码会偷偷接管管理员账户,从而执行管理员操作。 为了证明他们的观点,研究人员创建了一个漏洞利用程序(exploits)。利用这个exploits,他们创建了一个新的WordPress管理员账户,改变了当前管理员密码,并在服务器上执行了攻击PHP代码。 漏洞分析 问题出在wordpress的留言处,通常情况下留言是允许一些html标签的,比如、、等等,然而标签中有一些属性是在白名单里的,比如标签允许href属性,但是onmouseover属性是不允许的。 但是在一个字符串格式化函数wptexturize()上出现了问题,这个函数会在每一个留言上执行,函数的功能是把当前的字符转义成html实体,比如把“”转义为“”。为了防止干扰html格式,wptexturize()首先会以html标签为标准把文本分成若干段,除了html标签,还有方括号标签比如[code]。分割的功能是由下列正则表达式完成的。 在wp-includes/formatting.php代码的第156行: $textarr = preg_split(‘/(.*|\[.*\])/Us’, $text, -1, PREG_SPLIT_DELIM_CAPTURE); 但是如果文章中混合着尖括号和方括号[]会造成转义混淆,导致部分代码没有转义。 攻击者可以通过这个漏洞在允许的HTML标签中注入样式参数形成XSS攻击,比如通过建立一个透明的标签覆盖窗口,捕捉onmouseover事件。 漏洞利用测试 以下代码可以用于测试 [[” NOT VULNERABLE] 修复建议 这一漏洞很容易被攻击者利用,WordPress官方建议用户尽快更新补丁,而在新版WordPress 4.0.1已经修复了所有的漏洞。 WordPress官方于11月20日发布了官方补丁,目前大多数的WordPress网站上都会收到补丁更新提醒通知;如果有一些其他原因使得你无法更新补丁,Klikki Oy公司还提供了另外一个解决方案(workaround)可以修复该漏洞。 wptexturize可以通过在wp-includes/formatting.php开头增加一个返回参数避免这个问题: function wptexturize($text) { return $text; // ADD THIS LINE global $wp_cockneyreplace; 额外提醒 如果你使用的是WP-Statistics WordPress插件,你也应该更新补丁。因为这些插件上也存在跨站脚本漏洞,攻击者同样可以实施攻击。
成都创新互联公司主营丘北网站建设的网络公司,主营网站建设方案,app软件定制开发,丘北h5成都微信小程序搭建,丘北网站营销推广欢迎丘北等地区企业咨询
wordpress自动升级失败的原因及解决方案
上个月下旬,wordpress低调地发布了4.1版本,本着与时俱进的态度,我决定尽早升级,在网站后台点击更新,等待了很久,出现了空白页面,反复折腾了七八次,还是无法升级;上网查找了很多资料,试了很多方法,最好手动升级成功了。
回想这次坎坷的网站升级之路,主要原因可能是中途换过主机环境,一些文件夹权限或服务器配置有过变更,导致升级时程序无法替换文件,让自动升级失败。
为了以后,大家可以从容地面对类似的情况,不再纠结很久再做决定;下面,还是简单罗列一下wordprss自动升级失败的原因及解决方案。
网络问题
现象:点击更新提示,浏览器右下角一直提示连接域名,然后没有然后了。
原因:wordpress的服务器在国外,国内主机去访问,速度有时候不稳定。
处理方案:建议换个时间去更新,实在不行直接选择手动升级。
文件权限问题
现象:点击更新提示,要求输入FTP账号、密码什么的,linux主机较多出现。
原因:出现这个提示,一般是指文件夹没有写入权限;网站程序更换系统环境时,好比从A主机到B主机,文件夹权限可能没有正确传递,很容易出现这种情况。
处理方案:可以直接输入FTP账号、密码;部分VPS或云主机,没有开通过FTP,可以赋予网站目录www用户权限,命令是chown
-R
www
/home/web/wordpress;当然,还可以用winscp等工具登陆ssh,直接鼠标右键修改文件夹权限。
环境配置问题
现象:点击更新提示,看起来在正常更新,过会儿停留在空白页面。
原因:出现这个提示,原因有很多,好比开启了防目录跨站功能。
处理方案:如果是虚拟主机,联系空间商处理;如果是VPS或云主机,可以去主机控制面板或防火墙软件上,暂时取消掉类似的安全设置。
至于怎么取消,要看具体情况,一般是设置php.ini文件,搜索open_basedir,在前面加上#注释掉;部分防火墙软件,也有可能有类似的功能,限制了网站程序目录权限。当然,为了安全,不建议取消防跨站功能,可以通过手动升级来替代。
除开上面几种常见的情况,有时候可能会遇见更奇怪的情况;这个时候,不妨手动升级程序,只要简单五步,即可顺利升级到最新版的wordpress程序。
手动升级wordpress
1、登陆网站后台,暂停正在使用的插件,备份数据库及网站;
2、到wordpress官网下载最新的程序,压缩上传到网站根目录;
3、解压覆盖网站目录下的wp-admin、wp-includes文件夹;
4、解压覆盖根目录下面的其它文件(wp-config.php除外);
5、访问http://域名/wp-admin/upgrade.php升级,按提示操作。
注意事项:注意备份网站和数据库,替换过程中,保留wp-content目录(主题目录,非常重要)、wp-config.php(数据库配置文件,非常重要)、robots.txt(一般重要)、favicon.ico(一般重要)等文件。按这个流程操作,99%可以正常升级;若依然升级失败,可能是数据库或其它配置坏了,建议先默哀,再查找原因。
本文由不否网
提供,欢迎转载、分享、交流。
WordPress网站 360检测有跨站脚本攻击漏洞
其它答案没有答到点上。
我的解决方法是直接在入口文件index.php里,过滤url
$url=$_SERVER['REQUEST_URI'];
判断$url,凡带有script 字符匹配的,即返回403代码
轻松解决这个问题!
网站标题:wordpress跨站 wordpress跨域插件
标题链接:http://scyingshan.cn/article/dohejdo.html