2018 年 6 月 wordpress 最新漏洞及解决办法

最近 wordpress 爆出最新漏洞,2018 年 6 月 29 日,该网站漏洞通杀所有 wordpress 版本,包括目前的 wordpress 4.8.6 以及 wordpress 4.9.6 版本。可以删除网站上的任意文件,影响危害严重,甚至是致命的一个漏洞,如果被攻击者利用,后果将不堪设想。截止目前该漏洞还未有被修复。如果您在使用 wordpress,请尽快将 wp-includes 文件夹下的 post.php 文件改名,等官方出 wordpress 漏洞补丁后,再改回并升级。

以上是网传文章的一个解决办法,那么这个漏洞会删除 wp-config.php 文件,大家都知道这是 wordpress 配置文件,没有了他数据库无法连接,很多设置也没有了,等于把 wordpress 给瘫痪了。为了避免被利用我们要把 wp-config.php 文件设置为禁止修改。这个禁止修改是应用请求层面的权限,如果你自己用 SSH 连接修改或者 sftp 修改都不影响的,下面说一下详细操作。

有两种操作方法可以实现这个目的。一是 ssh 连接使用 vi 或者 vim 命令直接修改文件,二是使用 SFTP 下载到本地修改后再上传覆盖。

一、命令修改

编辑 nginx 虚拟主机配置文件命令:

vi /usr/local/nginx/conf/vhost/www.vpsss.net.conf

请把我的域名换成你自己的域名。

把下面命令添加进去,保存。

# 禁止他人访问 wp-config.php location ~* wp-config.php { deny all; }

添加完后是下面图片这样子,记得和上下命令之间留一行空格。

二、SFTP 修改

更简单用 winScp 下载上面的 www.vpsss.net.conf 文件到本地,用 dreamweaver、Notepad++、Editplus 等等编辑软件添加同样内容,再覆盖掉服务器文件。

三、重新加载 nginx

/etc/init.d/nginx reload

这样在应用层面就无法修改 wp-config.php 文件了,还不影响你自己 SSH 连接和 SFTP 的使用。 剩下的就是等 wordpress 官方出新版本修正这个问题了。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Laoqi's Linux运维专列

Zabbix远程执行命令

54080
来自专栏酷玩时刻

Redis4.0.1安装以及主从复制详解

Redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(...

11220
来自专栏加米谷大数据

MongoDB 安装和可视化工具

MongoDB 是一款非常热门的NoSQL,面向文档的数据库管理系统,我选择的是 Enterprise Server (MongoDB 3.2.9)版本,安装在...

35710
来自专栏jeremy的技术点滴

nginx使用备忘

314110
来自专栏一枝花算不算浪漫

[Linux基础]Linux基础知识入门及常见命令.

42670
来自专栏网络

Servlet开篇

好好学习,天天向上! 1 什么是Servlet? sun公司制订的一种用来扩展web服务器功能的组件规范。 2 如何写一个Servlet? step1 写一个j...

23890
来自专栏Android Note

HTTP 基本知识

14340
来自专栏开源优测

python selenium2 开发环境搭建

环境搭建 基于python和selenium2做自动化测试,你必须会搭建基本的开发环境,掌握python基本的语法和一个IDE来进行开发,这里通过详细的讲解,介...

29050
来自专栏linux运维学习

linux学习第五十二篇: exportfs命令,NFS客户端问题,FTP介绍,使用vsftpd搭建ftp服务

exportfs命令 常用选项 -a 全部挂载或者全部卸载 -r 重新挂载 -u 卸载某一个目录 -v 显示共享目录 以下操作在服务端上 vim /et...

22480
来自专栏决胜机器学习

《Redis设计与实现》读书笔记(二十一) ——Redis服务器定时函数serverCron详解

《Redis设计与实现》读书笔记(二十一) ——Redis服务器定时函数serverCron详解 (原创内容,转载请注明来源,谢谢) 一、概述 redis...

36340

扫码关注云+社区

领取腾讯云代金券