阿里雲服務器報「wordpress IP驗證不當」漏洞的解決辦法

 

登錄阿里雲服務器控制檯，提示網站存在漏洞，等級爲「需儘快修復」。下面是阿里給出的「wordpress IP驗證不當漏洞」說明：

wordpress IP驗證不當漏洞。需儘快修復

基本信息標題:wordpress IP驗證不當漏洞披露時間: 1970-01-01 08:00:00簡介:wordpress /wp-includes/http.php文件中的wp_http_validate_url函數對輸入IP驗證不當，致使黑客可構造相似於012.10.10.10這樣的畸形IP繞過驗證，進行SSRF。解決方案:方案一：使用雲盾自研補丁進行一鍵修復；方案二：更新該軟件到官方最新版本或尋求該軟件提供商的幫助。【注意：該補丁爲雲盾自研代碼修復方案，雲盾會根據您當前代碼是否符合雲盾自研的修復模式進行檢測，若是您自行採起了底層/框架統一修復、或者使用了其餘的修復方案，可能會致使您雖然已經修復了該漏洞，雲盾依然報告存在漏洞，遇到該狀況可選擇忽略該漏洞提示】

修復方法：

一、在路徑：/wp-includes/http.php找到http.php文件找開編輯（修改以前記得先備份http.php原文件），大概在533行（不一樣的WordPress版本可能行數不一樣，能夠查找關鍵詞進行查找）：

$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );
/*修改成*/
$same_host = ( strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ) || 'localhost' == strtolower($parsed_url['host']));

 

二、在http.php文件的549行：

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]
/*修改成：*/
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]

 

漏洞修復完成

修改完以上內容，而後再到阿里雲盾控制檯從新驗證一下漏洞，就會發現漏洞已經不存在了。