以下是wordpress的絕對路徑漏洞安全性處理:
1、/wp-includes/registration-functions.php
2、/wp-includes/user.php
3、/wp-admin/admin-functions.php
4、/wp-admin/upgrade-functions.php
只要直接訪問以上文件或者訪問當前wordpress網站的主題目錄下任意php文件都會爆出網站的絕對路徑,就連wordpress官方的主題twentytwelve也不例外。
解決方法一、在以上文件的的頭部<?php 後加入:
error_reporting(0);
解決方法二、直接修改php.ini隱藏php報錯。
保護wordpress後台不被直接訪問,防止直接post登錄wordpress後台
不用訪問wp-login.php文件,而是直接通過post遞交參數給wp-login.php來直接登錄網站後台,那麼$_GET對wp-login.php做的訪問限制就形同虛設,那麼該如何來有效的防止wordpress的登錄文件不被直接訪問而且不能以正常的post方式來登錄網站後台呢?
第一步:我們登錄後台進入到選項:在WordPress地址(URL)這一欄加上/XXXX(自由輸入)
第二步:我們在網站根目錄下新建一個名為XXXX的目錄,然後將除了index.php、robots.txt以及.htaccess之外的所有網站文件移至XXXX目錄(登錄變為域名/XXXX/wp -login.php)。
第三步:打開index.php並將
require('./wp-blog-header.php');
修改為:
require('./XXXXwp-blog-header.php');
這樣一來wordpress的後台地址以及登錄post提交參數的地址都隨著wordpress系統文件的移動而改變了,再配合$_GET訪問限制方法就可以達到很好的防駭效果。
留言列表
視覺相關 (4)