wordpress跨站 wordpress跨域插件

如何修復(fù)wordpress4.0跨站腳本執(zhí)行漏洞

WordPress是著名的開(kāi)源CMS（內(nèi)容管理）系統(tǒng)。近日，在4.0版本以下的Wordpress被發(fā)現(xiàn)存在跨站腳本漏洞（XSS），新版本的Wordpress已經(jīng)修復(fù)了這些問(wèn)題。為了安全起見(jiàn)，建議站長(zhǎng)們盡早更新到WP新版本。 該漏洞是由芬蘭IT公司Klikki Oy的CEO Jouko Pynnonen發(fā)現(xiàn)的，只存在于Wordpress4.0以下的版本中。據(jù)調(diào)查得知全球有86%的Wordpress網(wǎng)站都感染了這一漏洞，也就意味著全球數(shù)百萬(wàn)的網(wǎng)站都存在著潛在的危險(xiǎn)。一些知名網(wǎng)站也使用了Wordpress軟件，如Time、UPS、NBC Sports、CNN、Techcrunch 和FreeBuf:） 漏洞概述 WordPress中存在一系列的跨站腳本漏洞，攻擊者利用跨站腳本偽造請(qǐng)求以欺騙用戶(hù)更改登錄密碼，或者盜取管理員權(quán)限。 如Jouko Pynnonen解釋道： 當(dāng)博客管理員查看評(píng)論時(shí)，評(píng)論中的漏洞代碼會(huì)自動(dòng)在其Web瀏覽器上運(yùn)行。然后惡意代碼會(huì)偷偷接管管理員賬戶(hù)，從而執(zhí)行管理員操作。 為了證明他們的觀點(diǎn)，研究人員創(chuàng)建了一個(gè)漏洞利用程序（exploits）。利用這個(gè)exploits，他們創(chuàng)建了一個(gè)新的WordPress管理員賬戶(hù)，改變了當(dāng)前管理員密碼，并在服務(wù)器上執(zhí)行了攻擊PHP代碼。 漏洞分析 問(wèn)題出在wordpress的留言處，通常情況下留言是允許一些html標(biāo)簽的，比如、、等等，然而標(biāo)簽中有一些屬性是在白名單里的，比如標(biāo)簽允許href屬性，但是onmouseover屬性是不允許的。 但是在一個(gè)字符串格式化函數(shù)wptexturize()上出現(xiàn)了問(wèn)題，這個(gè)函數(shù)會(huì)在每一個(gè)留言上執(zhí)行，函數(shù)的功能是把當(dāng)前的字符轉(zhuǎn)義成html實(shí)體，比如把“”轉(zhuǎn)義為“”。為了防止干擾html格式，wptexturize()首先會(huì)以html標(biāo)簽為標(biāo)準(zhǔn)把文本分成若干段，除了html標(biāo)簽，還有方括號(hào)標(biāo)簽比如[code]。分割的功能是由下列正則表達(dá)式完成的。 在wp-includes/formatting.php代碼的第156行： $textarr = preg_split(‘/(.*|\[.*\])/Us’, $text, -1, PREG_SPLIT_DELIM_CAPTURE); 但是如果文章中混合著尖括號(hào)和方括號(hào)[]會(huì)造成轉(zhuǎn)義混淆，導(dǎo)致部分代碼沒(méi)有轉(zhuǎn)義。 攻擊者可以通過(guò)這個(gè)漏洞在允許的HTML標(biāo)簽中注入樣式參數(shù)形成XSS攻擊，比如通過(guò)建立一個(gè)透明的標(biāo)簽覆蓋窗口，捕捉onmouseover事件。 漏洞利用測(cè)試 以下代碼可以用于測(cè)試 [[” NOT VULNERABLE] 修復(fù)建議 這一漏洞很容易被攻擊者利用，WordPress官方建議用戶(hù)盡快更新補(bǔ)丁，而在新版WordPress 4.0.1已經(jīng)修復(fù)了所有的漏洞。 WordPress官方于11月20日發(fā)布了官方補(bǔ)丁，目前大多數(shù)的WordPress網(wǎng)站上都會(huì)收到補(bǔ)丁更新提醒通知；如果有一些其他原因使得你無(wú)法更新補(bǔ)丁，Klikki Oy公司還提供了另外一個(gè)解決方案（workaround）可以修復(fù)該漏洞。 wptexturize可以通過(guò)在wp-includes/formatting.php開(kāi)頭增加一個(gè)返回參數(shù)避免這個(gè)問(wèn)題： function wptexturize($text) { return $text; // ADD THIS LINE global $wp_cockneyreplace; 額外提醒 如果你使用的是WP-Statistics WordPress插件，你也應(yīng)該更新補(bǔ)丁。因?yàn)檫@些插件上也存在跨站腳本漏洞，攻擊者同樣可以實(shí)施攻擊。

成都創(chuàng)新互聯(lián)公司主營(yíng)丘北網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營(yíng)網(wǎng)站建設(shè)方案,app軟件定制開(kāi)發(fā),丘北h5成都微信小程序搭建,丘北網(wǎng)站營(yíng)銷(xiāo)推廣歡迎丘北等地區(qū)企業(yè)咨詢(xún)

wordpress自動(dòng)升級(jí)失敗的原因及解決方案

上個(gè)月下旬，wordpress低調(diào)地發(fā)布了4.1版本，本著與時(shí)俱進(jìn)的態(tài)度，我決定盡早升級(jí)，在網(wǎng)站后臺(tái)點(diǎn)擊更新，等待了很久，出現(xiàn)了空白頁(yè)面，反復(fù)折騰了七八次，還是無(wú)法升級(jí);上網(wǎng)查找了很多資料，試了很多方法，最好手動(dòng)升級(jí)成功了。

回想這次坎坷的網(wǎng)站升級(jí)之路，主要原因可能是中途換過(guò)主機(jī)環(huán)境，一些文件夾權(quán)限或服務(wù)器配置有過(guò)變更，導(dǎo)致升級(jí)時(shí)程序無(wú)法替換文件，讓自動(dòng)升級(jí)失敗。

為了以后，大家可以從容地面對(duì)類(lèi)似的情況，不再糾結(jié)很久再做決定;下面，還是簡(jiǎn)單羅列一下wordprss自動(dòng)升級(jí)失敗的原因及解決方案。

網(wǎng)絡(luò)問(wèn)題

現(xiàn)象：點(diǎn)擊更新提示，瀏覽器右下角一直提示連接域名，然后沒(méi)有然后了。

原因：wordpress的服務(wù)器在國(guó)外，國(guó)內(nèi)主機(jī)去訪(fǎng)問(wèn)，速度有時(shí)候不穩(wěn)定。

處理方案：建議換個(gè)時(shí)間去更新，實(shí)在不行直接選擇手動(dòng)升級(jí)。

文件權(quán)限問(wèn)題

現(xiàn)象：點(diǎn)擊更新提示，要求輸入FTP賬號(hào)、密碼什么的，linux主機(jī)較多出現(xiàn)。

原因：出現(xiàn)這個(gè)提示，一般是指文件夾沒(méi)有寫(xiě)入權(quán)限;網(wǎng)站程序更換系統(tǒng)環(huán)境時(shí)，好比從A主機(jī)到B主機(jī)，文件夾權(quán)限可能沒(méi)有正確傳遞，很容易出現(xiàn)這種情況。

處理方案：可以直接輸入FTP賬號(hào)、密碼;部分VPS或云主機(jī)，沒(méi)有開(kāi)通過(guò)FTP，可以賦予網(wǎng)站目錄www用戶(hù)權(quán)限，命令是chown

-R

www

/home/web/wordpress;當(dāng)然，還可以用winscp等工具登陸ssh，直接鼠標(biāo)右鍵修改文件夾權(quán)限。

環(huán)境配置問(wèn)題

現(xiàn)象：點(diǎn)擊更新提示，看起來(lái)在正常更新，過(guò)會(huì)兒停留在空白頁(yè)面。

原因：出現(xiàn)這個(gè)提示，原因有很多，好比開(kāi)啟了防目錄跨站功能。

處理方案：如果是虛擬主機(jī)，聯(lián)系空間商處理;如果是VPS或云主機(jī)，可以去主機(jī)控制面板或防火墻軟件上，暫時(shí)取消掉類(lèi)似的安全設(shè)置。

至于怎么取消，要看具體情況，一般是設(shè)置php.ini文件，搜索open_basedir，在前面加上#注釋掉;部分防火墻軟件，也有可能有類(lèi)似的功能，限制了網(wǎng)站程序目錄權(quán)限。當(dāng)然，為了安全，不建議取消防跨站功能，可以通過(guò)手動(dòng)升級(jí)來(lái)替代。

除開(kāi)上面幾種常見(jiàn)的情況，有時(shí)候可能會(huì)遇見(jiàn)更奇怪的情況;這個(gè)時(shí)候，不妨手動(dòng)升級(jí)程序，只要簡(jiǎn)單五步，即可順利升級(jí)到最新版的wordpress程序。

手動(dòng)升級(jí)wordpress

1、登陸網(wǎng)站后臺(tái)，暫停正在使用的插件，備份數(shù)據(jù)庫(kù)及網(wǎng)站;

2、到wordpress官網(wǎng)下載最新的程序，壓縮上傳到網(wǎng)站根目錄;

3、解壓覆蓋網(wǎng)站目錄下的wp-admin、wp-includes文件夾;

4、解壓覆蓋根目錄下面的其它文件(wp-config.php除外);

5、訪(fǎng)問(wèn)http://域名/wp-admin/upgrade.php升級(jí)，按提示操作。

注意事項(xiàng)：注意備份網(wǎng)站和數(shù)據(jù)庫(kù)，替換過(guò)程中，保留wp-content目錄(主題目錄，非常重要)、wp-config.php(數(shù)據(jù)庫(kù)配置文件，非常重要)、robots.txt(一般重要)、favicon.ico(一般重要)等文件。按這個(gè)流程操作，99%可以正常升級(jí);若依然升級(jí)失敗，可能是數(shù)據(jù)庫(kù)或其它配置壞了，建議先默哀，再查找原因。

本文由不否網(wǎng)

提供，歡迎轉(zhuǎn)載、分享、交流。

WordPress網(wǎng)站 360檢測(cè)有跨站腳本攻擊漏洞

其它答案沒(méi)有答到點(diǎn)上。

我的解決方法是直接在入口文件index.php里，過(guò)濾url

$url=$_SERVER['REQUEST_URI'];

判斷$url，凡帶有script 字符匹配的，即返回403代碼

輕松解決這個(gè)問(wèn)題！

分享文章：wordpress跨站 wordpress跨域插件
文章鏈接：http://muchs.cn/article10/dohejdo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設(shè)計(jì)、Google、網(wǎng)站營(yíng)銷(xiāo)、面包屑導(dǎo)航、、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)