wordpress IP验证不当漏洞修复
今天在阿里云服务器后台查看时,发现提示一个WORDPRESS网站系统有漏洞,如下图
漏洞修复方法:
打开wp-includes/http.php,搜索:
$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );
替换为:
$same_host = ( strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ) || 'localhost' == strtolower($parsed_url['host']));
继续搜索:
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]
替换为:
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]
保存。然后在云控制台重新验证。验证完成后,漏洞修复