如何修復(fù)wordpress4.0跨站腳本執(zhí)行漏洞

WordPress是著名的開源CMS（內(nèi)容管理）系統(tǒng)。近日，在4.0版本以下的Wordpress被發(fā)現(xiàn)存在跨站腳本漏洞（XSS），新版本的Wordpress已經(jīng)修復(fù)了這些問題。為了安全起見，建議站長們盡早更新到WP新版本。 該漏洞是由芬蘭IT公司Klikki Oy的CEO Jouko Pynnonen發(fā)現(xiàn)的，只存在于Wordpress4.0以下的版本中。據(jù)調(diào)查得知全球有86%的Wordpress網(wǎng)站都感染了這一漏洞，也就意味著全球數(shù)百萬的網(wǎng)站都存在著潛在的危險。一些知名網(wǎng)站也使用了Wordpress軟件，如Time、UPS、NBC Sports、CNN、Techcrunch 和FreeBuf:） 漏洞概述 WordPress中存在一系列的跨站腳本漏洞，攻擊者利用跨站腳本偽造請求以欺騙用戶更改登錄密碼，或者盜取管理員權(quán)限。 如Jouko Pynnonen解釋道： 當博客管理員查看評論時，評論中的漏洞代碼會自動在其Web瀏覽器上運行。然后惡意代碼會偷偷接管管理員賬戶，從而執(zhí)行管理員操作。 為了證明他們的觀點，研究人員創(chuàng)建了一個漏洞利用程序（exploits）。利用這個exploits，他們創(chuàng)建了一個新的WordPress管理員賬戶，改變了當前管理員密碼，并在服務(wù)器上執(zhí)行了攻擊PHP代碼。 漏洞分析 問題出在wordpress的留言處，通常情況下留言是允許一些html標簽的，比如、、等等，然而標簽中有一些屬性是在白名單里的，比如標簽允許href屬性，但是onmouseover屬性是不允許的。 但是在一個字符串格式化函數(shù)wptexturize()上出現(xiàn)了問題，這個函數(shù)會在每一個留言上執(zhí)行，函數(shù)的功能是把當前的字符轉(zhuǎn)義成html實體，比如把“”轉(zhuǎn)義為“”。為了防止干擾html格式，wptexturize()首先會以html標簽為標準把文本分成若干段，除了html標簽，還有方括號標簽比如[code]。分割的功能是由下列正則表達式完成的。 在wp-includes/formatting.php代碼的第156行： $textarr = preg_split(‘/(.*|\[.*\])/Us’, $text, -1, PREG_SPLIT_DELIM_CAPTURE); 但是如果文章中混合著尖括號和方括號[]會造成轉(zhuǎn)義混淆，導(dǎo)致部分代碼沒有轉(zhuǎn)義。 攻擊者可以通過這個漏洞在允許的HTML標簽中注入樣式參數(shù)形成XSS攻擊，比如通過建立一個透明的標簽覆蓋窗口，捕捉onmouseover事件。 漏洞利用測試 以下代碼可以用于測試 [[” NOT VULNERABLE] 修復(fù)建議 這一漏洞很容易被攻擊者利用，WordPress官方建議用戶盡快更新補丁，而在新版WordPress 4.0.1已經(jīng)修復(fù)了所有的漏洞。 WordPress官方于11月20日發(fā)布了官方補丁，目前大多數(shù)的WordPress網(wǎng)站上都會收到補丁更新提醒通知；如果有一些其他原因使得你無法更新補丁，Klikki Oy公司還提供了另外一個解決方案（workaround）可以修復(fù)該漏洞。 wptexturize可以通過在wp-includes/formatting.php開頭增加一個返回參數(shù)避免這個問題： function wptexturize($text) { return $text; // ADD THIS LINE global $wp_cockneyreplace; 額外提醒 如果你使用的是WP-Statistics WordPress插件，你也應(yīng)該更新補丁。因為這些插件上也存在跨站腳本漏洞，攻擊者同樣可以實施攻擊。

成都創(chuàng)新互聯(lián)公司長期為上千余家客戶提供的網(wǎng)站建設(shè)服務(wù)，團隊從業(yè)經(jīng)驗10年，關(guān)注不同地域、不同群體，并針對不同對象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為臨洮企業(yè)提供專業(yè)的成都網(wǎng)站制作、網(wǎng)站建設(shè)、外貿(mào)網(wǎng)站建設(shè)，臨洮網(wǎng)站改版等技術(shù)服務(wù)。擁有十余年豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。

PHP Everywhere 三個 RCE 漏洞威脅大量 WordPress 網(wǎng)站

PHP Everywhere 是一個開源的 WordPress 插件，它允許 WordPress 管理員在頁面、帖子、側(cè)邊欄或任何 Gutenberg 塊中插入 PHP 代碼，并使用它來顯示基于評估的 PHP 表達式的動態(tài)內(nèi)容。

近日 Wordfence 安全研究員發(fā)現(xiàn) PHP Everywhere 存在三個 RCE 漏洞，三個漏洞的 CVSS 評分全都達到 9.9（最高分 10 分），將會影響 2.0.3 及后續(xù)所有 WordPress 版本。

它們是 CVE-2022-24663、CVE-2022-24664 和 CVE-2022-24665。

目前全球有超過 3 萬個網(wǎng)站使用該插件，攻擊者可以利用該插件在受影響的系統(tǒng)上執(zhí)行任意代碼，大量 WP 網(wǎng)站面臨風險。

三個漏洞的簡短描述如下：

WordPress 所屬公司 Wordfence 表示已在 1 月 4 日將問題告知該插件的作者 Alexander Fuchs，隨后在 1 月 12 日發(fā)布新版本 3.0.0，完全刪除了易受攻擊代碼。

該插件的更新說明頁面指出，“3.0.0 版本的更新具有重大變化，刪除了 PHP Everywhere 短代碼和小部件。運行插件設(shè)置頁面的升級程序，將舊代碼遷移至 Gutenberg 塊?！?/p>

值得注意的是，3.0.0 版本僅支持通過塊編輯器的 PHP 代碼片段，這意味著依賴于經(jīng)典編輯器的用戶必須卸載該插件并選擇另一種使用自定義 PHP 代碼的解決方案。

阿里云提示wordpress IP驗證不當漏洞怎么辦，如何修復(fù)

1，是系統(tǒng)漏洞吧

2，裝個電腦管家到你電腦上

3，然后通過工具箱的修復(fù)工具去修復(fù)一下漏洞就行了