修复wordpress安全漏洞

最新推荐文章于 2024-04-30 09:17:39 发布
最新推荐文章于 2024-04-30 09:17:39 发布
阅读量735 收藏 5
点赞数 11
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangjipinggom/article/details/136023063
版权

1. 问题描述:
用wordpress建了一个网站,但是学校反映说存在安全漏洞,通过接口https://xxx.xxx.edu.cn/?rest_route=/wp/v2/users/可以访问到一些内容,希望可以关闭这个接口。

2. 解决办法
一共两步
(1)在functions.php添加内容:
(这个php的文件路径一般在你安装wprdpress的路径的themes下,比如我的在:
/var/www/html/wp-content/themes/astra/functions.php)

add_filter( 'rest_endpoints', function( $endpoints ){
    if ( isset( $endpoints['/wp/v2/users'] ) ) {
        unset( $endpoints['/wp/v2/users'] );
    }
    return $endpoints;
});


 

(2) 在.htaccess文件中添加:
(这个文件在你安装的wordpress路径下,比如我的在/var/www/html/.htaccess)
(因为我安装wp的时候是基于apache去配置的,修改的是.htaccess这个文件,如果你是基于Nginx的话,需要修改的是Nginx对应的文件)

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_URI} ^/wp-json/wp/v2/users/?$
RewriteRule ^.* - [R=403,L]
</IfModule>

 3. 结果
修改后在这个接口下就返回不了啥有效信息了

4. 其他 
不知道截图软件咋了,打字时候"c"打不出来,所以文中图片标注有一些出入,比如”function“->”funtion, htaccess->htaess

zhangjipinggom
关注
  • 11
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 380
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
wordpress漏洞_多个WordPress插件SQL注入漏洞分析
weixin_39702714的博客
12-12 656
背景SQL注入漏洞是用来构建SQL查询的用户输入未经适当处理导致的漏洞。比如:图1: 使用WordPress的SQL查询示例从上面的代码来看,其中存在SQL注入攻击漏洞,因为从$_GET中提取的$_id在传递给SQL查询时没有经过任何处理。在最新的WordPress版本中,默认会在$_POST/$_GET/$_REQUEST/$_COOKIE中加入了magic quotes。这可以帮助...
0day-未公开-WordPress AI Engine文件上传致RCE漏洞
最新发布
weixin_43167326的博客
04-30 647
WordPress CMS 上的网站数以亿计,该平台及其用户称为威胁行动者的庞大攻击面,因此常常是恶意攻击的目标。其中很多攻击通过插件安装恶意软件,轻松导致数千个甚至数百万个站点易遭攻击。攻击者还倾向于快速利用WordPress 中发现的漏洞
wordpress 注入恶意代码漏洞利用与修复方案
网站安全资讯
09-16 1019
撸了今年阿里、头条和美团的面试,我有一个重要发现.......>>> ...
您需要了解的WordPress漏洞以及如何修复它们
cumi7754的博客
08-04 1009
by Joel S. Syder 乔尔·赛德(Joel S.Syder) 您需要了解的WordPress漏洞以及如何修复它们 (WordPress vulnerabilities you need to know about — and how to fix them) WordPress is an incredibly useful and versatile platform for a...
wordpress4.9漏洞
小小猪的博客
12-01 8111
漏洞介绍: WordPress可以说是当今最受欢迎的(我想说没有之一)基于PHP的开源CMS,其目前的全球用户高达数百万,并拥有超过4600万次的超高下载量。它是一个开源的系统,其次它的功能也十分强大。也正因为此,WordPress也成了众多黑客的攻击目标,一旦得手也就意味着数百万用户的沦陷。这种广泛的采用使其成为网络犯罪分子的一个有趣目标。这次实验的漏洞是在WordPress核心中的一个经过身份验证的任意文件删除漏洞CVE-2018-20714 该漏洞可能导致攻击者执行任意代码。该漏洞自发现到报告给W
墨者靶场 WordPress插件漏洞分析溯源
永远是少年
12-30 1470
今天继续给大家介绍CTF刷题,本文主要内容墨者靶场 WordPress插件漏洞分析溯源。 一、题目简介 二、解题实战
Wordpress 禁用未登录的用户访问 REST API
NOT NULL
12-03 2482
/*禁用未登录的用户*/ add_filter( 'rest_api_init', 'rest_only_for_authorized_users', 99 ); function rest_only_for_authorized_users($wp_rest_server){ if ( !is_user_logged_in() ) { wp_die('非法操作!');
干货 | Wordpress网站渗透方法指南
leah126的博客
05-03 2434
如果您遇到使用 WordPress 的网站,您会怎么做,渗透思路和安全检测思路?
漏洞挖掘】sourcemap、webpck源码泄露漏洞
tyty2211的博客
11-20 4609
访问官网,下载安装包,然后一路next即可安装包会自动添加环境变量确认是否安装成功npm -v。
Wordpress漏洞
热门推荐
Grey的博客
07-19 2万+
爆路径方法: 1.http://www.chouwazi.com/wp-admin/includes/admin.php   2.http://www.chouwazi.com/wp-content/plugins/akismet/akismet.php   3.http://www.chouwazi.com/wp-content/plugins/akismet/hello.php   4...
wordpress 4.6 RCE漏洞利用(CVE-2016-10033)
xiaobai_20190815的博客
04-08 5331
一、漏洞描述: 当WordPress 使用 PHPMailer 组件向用户发送邮件。攻击者在找回密码时会使用PHPmailer发送重置密码的邮件,利用substr(字符串截取函数)、$run(系统调用函数)等构造payload,即可进行远程命令执行 二、影响版本 WordPress <= 4.6.0 PHPMailer < 5.2.18 三、漏洞搭建 vulhub下载,傻瓜式安装,然后漏洞在密码重置这个页面 四、漏洞利用 1、抓包,构造POST /wp-login.p
简单了解cms,复现vulhub中的wordpress漏洞
weixin_64655821的博客
09-12 1038
简单了解cms,复现vulhub中的wordpress漏洞
WP Rest API 入门详解
12-18 1万+
转发地址: http://www.thatyou.cn/wp-rest-api-%E5%85%A5%E9%97%A8%E8%AF%A6%E8%A7%A3/ 一、关于WP REST API wordpress已经不仅仅是一个博客网站程序,而是一个强大的CMS系统。开源、完善的社区、丰富的接口等等优势正将wordpress推向更高更广泛的领域。 WP REST API 是wordpres
WordPress-WP REST User插件之用户注册&找回密码
AHeng的博客
05-13 652
安装WP REST User插件 1.在wordpress搜索WP REST User并启用 使用 1.用户注册 请求地址: 你的域名/wp-json/wp/v2/users/register例如: http://wp.bili-bili.cn/wp-json/wp/v2/users/register 请求头: key value Content-Type application/json;charset=UTF-8 json参数: { "username": "用户名",
WordPress网站漏洞利用及漏洞修复解决方案
02-24 784
2019年正月刚开始,WordPress最新版本存在远程代码注入获取SHELL漏洞,该网站漏洞影响的版本是wordpress5.0.0,漏洞的产生是因为image模块导致的,因为代码里可以进行获取目录权限,以及文件包含功能,...
wordpress修复插件_如何修复WordPress网站无法立即更新
cumohuo9136的博客
09-11 608
wordpress修复插件Are you trying to fix your WordPress website not updating right away? 您是否要修复您的WordPress网站不立即更新? Often users ask us why some changes they make to their site like a new blog post, widget...
wordpress修复插件_WordPress:尝试修复WordPress网站的用户体验
cunchi8090的博客
07-21 707
wordpress修复插件 First things first, I say this in many of my articles, but in this one you can take it as fact.I am not in any way an expert when it comes to WordPress.I am strictl...
wordpresscms漏洞
10-04
WordPress CMS漏洞是指WordPress这个内容管理系统存在的安全漏洞。虽然WP 3.0版本之后修复了一些已知的安全问题,但仍然可能存在新的漏洞。由于WordPress是一款非常流行的CMS系统,因此黑客们一直在寻找并利用其中的漏洞来进行攻击。这些漏洞可能包括但不限于:未经身份验证的远程代码执行、跨站脚本攻击(XSS)、SQL注入、文件上传漏洞等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值