码迷,mamicode.com
首页 > 其他好文 > 详细

360安全检测出的WordPress漏洞的修复方法

时间:2017-06-20 14:50:01      阅读:166      评论:0      收藏:0      [点我收藏+]

标签:恶意代码   注意   robot   服务   返回   content   ram   logs   arp   

1、跨站脚本攻击(XSS)

这个漏洞注意是因为用户评论可以提交代码,有安全风险。虽然你的WordPress以及是最新版,但是你的WordPress主题却不一定跟着更新!因此,需要稍微修改一下评论相关的php模板文件,如comment-ajax.php、comments-ajax.php。

$comment_type = ‘‘;//这是原有的,下面的是新增的,不允许提交恶意代码

if ( ‘‘ != $comment_content ) {
    /* $filter 是需要过滤的关键词,关键词之间用分隔符 | 隔开即可。 */
    $filter = ‘/<(iframe|script)/i‘;
    if (preg_match($filter,$comment_content,$matches)) {
        err( __(‘警告:评论含有危险内容,已被拦截,请在更正后重试。‘) ); 
    }
}

 

2、发现robots文件

robots文件显示了管理目录,被扣1分。解决办法是只允许蜘蛛访问robots.txt,其他用户不允许访问就行了。nginx拦截方法如下,其他服务器方法类似。

#如果请求的是robots.txt,并且匹配到了蜘蛛,则返回403
location = /robots.txt { 
    if ($http_user_agent !~* "spider|bot|Python-urllib|pycurl") {
        return 403;
    }
}

 

360安全检测出的WordPress漏洞的修复方法

标签:恶意代码   注意   robot   服务   返回   content   ram   logs   arp   

原文地址:http://www.cnblogs.com/crxis/p/7053752.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!