如何修復(fù)wordpress4.0跨站腳本執(zhí)行漏洞

WordPress是著名的開源CMS（內(nèi)容管理）系統(tǒng)。近日，在4.0版本以下的Wordpress被發(fā)現(xiàn)存在跨站腳本漏洞（XSS），新版本的Wordpress已經(jīng)修復(fù)了這些問題。為了安全起見，建議站長們盡早更新到WP新版本。 該漏洞是由芬蘭IT公司Klikki Oy的CEO Jouko Pynnonen發(fā)現(xiàn)的，只存在于Wordpress4.0以下的版本中。據(jù)調(diào)查得知全球有86%的Wordpress網(wǎng)站都感染了這一漏洞，也就意味著全球數(shù)百萬的網(wǎng)站都存在著潛在的危險(xiǎn)。一些知名網(wǎng)站也使用了Wordpress軟件，如Time、UPS、NBC Sports、CNN、Techcrunch 和FreeBuf:） 漏洞概述 WordPress中存在一系列的跨站腳本漏洞，攻擊者利用跨站腳本偽造請(qǐng)求以欺騙用戶更改登錄密碼，或者盜取管理員權(quán)限。 如Jouko Pynnonen解釋道： 當(dāng)博客管理員查看評(píng)論時(shí)，評(píng)論中的漏洞代碼會(huì)自動(dòng)在其Web瀏覽器上運(yùn)行。然后惡意代碼會(huì)偷偷接管管理員賬戶，從而執(zhí)行管理員操作。 為了證明他們的觀點(diǎn)，研究人員創(chuàng)建了一個(gè)漏洞利用程序（exploits）。利用這個(gè)exploits，他們創(chuàng)建了一個(gè)新的WordPress管理員賬戶，改變了當(dāng)前管理員密碼，并在服務(wù)器上執(zhí)行了攻擊PHP代碼。 漏洞分析 問題出在wordpress的留言處，通常情況下留言是允許一些html標(biāo)簽的，比如、、等等，然而標(biāo)簽中有一些屬性是在白名單里的，比如標(biāo)簽允許href屬性，但是onmouseover屬性是不允許的。 但是在一個(gè)字符串格式化函數(shù)wptexturize()上出現(xiàn)了問題，這個(gè)函數(shù)會(huì)在每一個(gè)留言上執(zhí)行，函數(shù)的功能是把當(dāng)前的字符轉(zhuǎn)義成html實(shí)體，比如把“”轉(zhuǎn)義為“”。為了防止干擾html格式，wptexturize()首先會(huì)以html標(biāo)簽為標(biāo)準(zhǔn)把文本分成若干段，除了html標(biāo)簽，還有方括號(hào)標(biāo)簽比如[code]。分割的功能是由下列正則表達(dá)式完成的。 在wp-includes/formatting.php代碼的第156行： $textarr = preg_split(‘/(.*|\[.*\])/Us’, $text, -1, PREG_SPLIT_DELIM_CAPTURE); 但是如果文章中混合著尖括號(hào)和方括號(hào)[]會(huì)造成轉(zhuǎn)義混淆，導(dǎo)致部分代碼沒有轉(zhuǎn)義。 攻擊者可以通過這個(gè)漏洞在允許的HTML標(biāo)簽中注入樣式參數(shù)形成XSS攻擊，比如通過建立一個(gè)透明的標(biāo)簽覆蓋窗口，捕捉onmouseover事件。 漏洞利用測(cè)試 以下代碼可以用于測(cè)試 [[” NOT VULNERABLE] 修復(fù)建議 這一漏洞很容易被攻擊者利用，WordPress官方建議用戶盡快更新補(bǔ)丁，而在新版WordPress 4.0.1已經(jīng)修復(fù)了所有的漏洞。 WordPress官方于11月20日發(fā)布了官方補(bǔ)丁，目前大多數(shù)的WordPress網(wǎng)站上都會(huì)收到補(bǔ)丁更新提醒通知；如果有一些其他原因使得你無法更新補(bǔ)丁，Klikki Oy公司還提供了另外一個(gè)解決方案（workaround）可以修復(fù)該漏洞。 wptexturize可以通過在wp-includes/formatting.php開頭增加一個(gè)返回參數(shù)避免這個(gè)問題： function wptexturize($text) { return $text; // ADD THIS LINE global $wp_cockneyreplace; 額外提醒 如果你使用的是WP-Statistics WordPress插件，你也應(yīng)該更新補(bǔ)丁。因?yàn)檫@些插件上也存在跨站腳本漏洞，攻擊者同樣可以實(shí)施攻擊。

十余年的浪卡子網(wǎng)站建設(shè)經(jīng)驗(yàn)，針對(duì)設(shè)計(jì)、前端、開發(fā)、售后、文案、推廣等六對(duì)一服務(wù)，響應(yīng)快，48小時(shí)及時(shí)工作處理。成都營銷網(wǎng)站建設(shè)的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動(dòng)調(diào)整浪卡子建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì)，從而大程度地提升瀏覽體驗(yàn)。成都創(chuàng)新互聯(lián)從事“浪卡子網(wǎng)站設(shè)計(jì)”,“浪卡子網(wǎng)站推廣”以來，每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

wordpress4.0怎么添加友情鏈接功能

將以下代碼添加到你的functions.php中，一般最后就好，自己加個(gè)備注。保存后即可在后臺(tái)左側(cè)看到友情鏈接編輯面板。

?php

/*

Plugin?Name:?WPJAM?Blogroll

Plugin?URI:?

Description:?快速添加友情鏈接

Version:?0.1

Author:?Denis

Author?URI:?

*/

add_action('admin_init',?'wpjam_blogroll_settings_api_init');

function?wpjam_blogroll_settings_api_init()?{

add_settings_field('wpjam_blogroll_setting',?'友情鏈接',?'wpjam_blogroll_setting_callback_function',?'reading');

register_setting('reading','wpjam_blogroll_setting');

}

function?wpjam_blogroll_setting_callback_function()?{

echo?'textarea?name="wpjam_blogroll_setting"?rows="10"?cols="50"?id="wpjam_blogroll_setting"?class="large-text?code"'?.?get_option('wpjam_blogroll_setting')?.?'/textarea';

}

function?wpjam_blogroll(){

$wpjam_blogroll_setting?=??get_option('wpjam_blogroll_setting');

if($wpjam_blogroll_setting){

$wpjam_blogrolls?=?explode("\n",?$wpjam_blogroll_setting);

foreach?($wpjam_blogrolls?as?$wpjam_blogroll)?{

$wpjam_blogroll?=?explode("|",?$wpjam_blogroll?);

echo?'?|?a?href="'.trim($wpjam_blogroll[0]).'"?title="'.esc_attr(trim($wpjam_blogroll[1])).'"'.trim($wpjam_blogroll[1]).'/a';

}

}

}

?

wordpress升級(jí)4.0后，發(fā)現(xiàn)登錄不了管理后臺(tái)，提示403，怎么回事

403錯(cuò)誤，一般是說文件夾權(quán)限不夠。你可以修改一下文件夾的權(quán)限。

用過阿里云，就碰到過你暈樣的問題。

如果你是虛擬空間的話，就找空間商來解決。

希望我的回答幫到你哦。