WP情侣主题sweet-clouds出现安全漏洞

sweet-clouds-发现本地路径泄漏

将网站迁移到万网后,使用360网站安全检测对网站进行安全扫描,发现love文件夹(使用wordpress情侣主题sweet-clouds)6个文件出现安全漏洞,主要是index.php页面和page页面。

发现本地路径泄漏——WASC Threat Classification,描述:目标服务器存在本地路径泄漏漏洞。

1.本地路径泄漏漏洞允许恶意攻击者获取服务器上的WEB根目录的全路径(通常在出错信息中)。

2. 通过此漏洞可以推断出其它资源在服务器上的本地路径,配合其它漏洞,恶意攻击者就有可能实施进一步的攻击。危害:恶意攻击者通过利用本地路径信息,在配合其它漏洞对目标服务器实施进一步的攻击。

解决方案:

1、由WEB应用程序实现自己的错误处理/管理系统;

2、如果是PHP应用程序/Apache服务器,可以通过修改php脚本、配置php.ini以及httpd.conf中的配置项来禁止显示错误信息:

修改php.ini中的配置行: display_errors = ‘off’

修改httpd.conf/apache2.conf中的配置行: php_flag display_errors off

修改php脚本,增加代码行: ini_set(‘display_errors’, false);

因为购买的是虚拟主机,无法修改php.ini和apache2.conf文件,只能修改php脚本,打开wp-content\themes\weet-clouds\index.php

在首行添加如下代码

<? ini_set('display_errors', false); ?>

即可修复本地路径泄漏漏洞

发表评论